Bundesdatenschutzgesetz
Text und Erläuterungen
Info 1
Impressum
Herausgeber:
Die Bundesbeauftragte für den Datenschutz
und die Informationsfreiheit
Postfach 14 68, 53004 Bonn
H...
Bundesdatenschutzgesetz
Text und Erläuterungen
BfDI – Info 1
4 BfDI – Info 1
1	Die Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit.....................................
5
5	 Seien Sie Ihr eigener Datenschutzbeauftragter! .................................. 66
6	 Begriffe und ihre Bedeutung.....
6 BfDI – Info 1
Vorwort
Eine Informationsgesellschaft ohne Daten ist nicht
denkbar.ObOnline-Shopping,Navigationssysteme,
M...
7
Bundesverfassungsgericht haben mehrfach die Rolle der Datenschutzaufsicht als
Hüterin des Rechts auf informationelle Sel...
8 BfDI – Info 1
1	 DieBundesbeauftragtefürdenDatenschutzunddie
Informationsfreiheit
Gesetzesbestimmungen: §§ 22 bis 26 Bun...
9
Beratung
Die Bundesbeauftragte berät
■■ denBundestagunddieBundesregierungdurchErstellenvonTätigkeitsberichten,Er-
stattu...
10 BfDI – Info 1
Rechtsvorschriften, aber z.B. auch um die ­Gestaltung von Fragebögen, die Sicherheit in
Computernetzen od...
11
Die Tätigkeitsberichte finden im Deutschen Bundestag große Beachtung. Sie werden in
den zuständigen Ausschüssen beraten...
12 BfDI – Info 1
nie (Richtlinie 95/46/EG) resultierenden Verpflichtung nach, auch auf der Bundesebene
eine völlig unabhän...
13
2	 SicherungdesPersönlichkeitsrechtsdurchdas	
Bundesdatenschutzgesetz
2.1	 Ziel des Datenschutzes
Gesetzesbestimmungen:...
14 BfDI – Info 1
Zur Begründung führt das Gericht aus:
„Wer nicht mit hinreichender Sicherheit überschauen kann, welche ih...
15
richt festgestellt, zugleich aber eindeutige Grenzen für Einschränkungen dieses Rechts
bestimmt:
Einschränkungen des Re...
16 BfDI – Info 1
ist die Charta der Grundrechte nicht nur für die Europäische Union und ihre Institutio-
nen, sondern auch...
17
Die Datenschutzaufsicht ist mehr als eine begleitende und ggf. sanktionierende Kont-
rollinstanz. Einen Schwerpunkt ihr...
18 BfDI – Info 1
2.3	 Anwendungsbereich des Bundesdatenschutzgesetzes
Gesetzesbestimmungen: §§ 1 Absatz 2 und 3, 2, 12, 27...
19
Die Länder haben jeweils Landesdatenschutzgesetze, welche den Umgang der Landes-
behörden mit personenbezogenen Daten r...
20 BfDI – Info 1
Beispiel:
Nach § 9a Absatz 1 des Handelsgesetzbuches und der eBundesanzeiger-Verordnung führt die
Bundesa...
21
für solche personenbezogenen Daten, die offensichtlich aus einer automatisierten Ver-
arbeitung entnommen worden sind, ...
22 BfDI – Info 1
reichend. Man braucht nur etwa an die Gesundheits- und Sozialbehörden, die Melde-
ämter, die Polizei und ...
23
Wenn eine Rechtsvorschrift den Umgang mit personenbezogenen Daten ausdrücklich
erlaubt oder sogar anordnet, kommt es au...
24 BfDI – Info 1
2.5	 Zweckbindungsgrundsatz
Gesetzesbestimmungen: §§ 14, 28, 29, 31 BDSG
Personenbezogene Daten dürfen du...
25
■■ die Daten allgemein zugänglich sind oder veröffentlicht werden dürften (aber nicht,
wenn das entgegenstehende schutz...
26 BfDI – Info 1
Das Gesetz schränkt die Möglichkeiten der Erhebung, Verarbeitung und Nutzung die-
ser Daten an vielen Ste...
27
Es muss stets zwischen den entgegenstehenden schutzwürdigen Interessen des Betrof-
fenen und dem Interesse an der Zweck...
28 BfDI – Info 1
Beispiel:
Ein Vertrag zwischen Bank und Bankkunden, Arzt und Patienten, Versicherung und Versi-
cherten; ...
29
■■ Bei der Datenverarbeitung der öffentlichen Stellen wird häufig die Ausnahme grei-
fen, die das Erheben besonderer Ar...
30 BfDI – Info 1
Wenn die personenbezogenen Daten beim Betroffenen erhoben werden, so muss er,
wenn er nicht bereits auf a...
31
Die Übermittlung an eine nicht-öffentliche Stelle ist außerdem zulässig, wenn der Drit-
te, an den die Daten übermittel...
32 BfDI – Info 1
Die Datenübermittlung in ein Land außerhalb der Europäischen Union, sog. „Dritt-
land“, ist zulässig, wen...
33
2.8	 Vorherige Kontrolle risikoreicher Datenverarbeitung
(sog. ­Vorabkontrolle)
Gesetzesbestimmungen: §§ 4d Absatz 5 un...
34 BfDI – Info 1
Vorabkontrolle
Ist eine Vorabkontrolle durch das Gesetz vorgeschrieben, ist sie eine weitere Vorausset-
z...
35
„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und
Gestaltung von Datenverarbeitungssy...
36 BfDI – Info 1
Schutzziele des technisch-organisatorischen Datenschutzes:
■■ Verfügbarkeit
	Verfahren und Daten stehen z...
37
Besondere Bedeutung erhält die sorgfältige Erarbeitung eines Datenschutzkonzepts
im Zusammenhang mit der neu eingeführt...
38 BfDI – Info 1
2.10	 Der behördliche und betriebliche Beauftragte
für den Datenschutz
Gesetzesbestimmungen: §§ 4f, 4g BD...
39
Die Position der Datenschutzbeauftragten ist zuletzt durch die Einführung eines
besonderen Kündigungsschutzes noch einm...
40 BfDI – Info 1
■■ zum Schutz des informationellen Selbstbestimmungsrechtes die für besonders risi-
koreiche Datenverarbe...
41
Dies setzt voraus, dass
■■ derAuftraggebereinenschriftlichenAuftragerteilenmuss(wasgenauschriftlichge-
regelt werden mu...
42 BfDI – Info 1
3	 BesonderheitenbeiderDatenverarbeitungdurch
nicht-öffentlicheStellen,Privatwirtschaft,Vereine
etc.
3.1	...
43
mittlung,wenndiesderWerbung,derTätigkeitvonAuskunfteienoderdemAdresshan-
del dient (s. dazu die nachfolgenden Kapitel)....
44 BfDI – Info 1
OhneEinwilligungdürfenpersonenbezogeneDatenzuZweckenderWerbungoderdes
Adresshandels verarbeitet oder genu...
45
Dieses Nutzungsverbot in Form eines Widerspruchs können Sie auch schon bei der erst-
maligen Bekanntgabe Ihrer persönli...
46 BfDI – Info 1
Ferner gibt die Deutsche Telekom AG die Daten, die auf Wunsch des Kunden in das Tele-
fonverzeichnis und ...
47
Folgende personenbezogene Daten dürfen an eine ­Auskunftei übermittelt werden:
■■ Forderungen, die durch rechtskräftige...
48 BfDI – Info 1
vorhandenen Angaben errechnet wird und eine Aussage über die Wahrscheinlichkeit
des künftigen Zahlungsver...
49
4	 RechtederBürgerinnenundBürger
Welche Rechte die Bürgerinnen und Bürger im Zusammenhang mit der Erhebung,
Verarbeitun...
50 BfDI – Info 1
verarbeiten sowie auch verschiedene Organisationseinheiten innerhalb einer Stelle.
Auch die Information ü...
51
kann (etwa um Ihre Bonität nachzuweisen). Das geforderte Entgelt darf nicht höher sein
als die entstandenen direkt zure...
52 BfDI – Info 1
Diese Stellen müssen Ihnen auch sagen, woher sie Ihre Daten haben und an wen sie die
Daten weitergeben, e...
53
Was tun, wenn die Auskunft verweigert wird?
Sie haben grundsätzlich Anspruch auf eine vollständige Auskunft. Alle Angab...
54 BfDI – Info 1
Es ist Aufgabe der behördlichen oder betrieblichen Datenschutzbeauftragten, auf
Antrag die Angaben in dem...
55
Ausnahmen:
Nicht öffentlich einsehbar sind die Verzeichnisse folgender Behörden:
■■ Verfassungsschutzbehörden,
■■ Bunde...
56 BfDI – Info 1
Die Benachrichtigung muss umfassen
■■ die Angabe der verantwortlichen Stelle (öffentliche Stelle bzw. ­Fi...
57
Wann sind personenbezogene Daten zu löschen?
Von öffentlichen Stellen, wenn
■■ ihre Speicherung unzulässig ist, etwa we...
58 BfDI – Info 1
Wann sind personenbezogene Daten zu sperren?
Personenbezogene Daten sind immer dann zu sperren, wenn eine...
59
4.4	 Das allgemeine Widerspruchsrecht
Gesetzesbestimmungen § 20 Absatz 5, 35 Absatz 5 BDSG
Wann greift das Widerspruchs...
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Bundesdatenschutzgesetz (BDSG)
Nächste SlideShare
Wird geladen in …5
×

Bundesdatenschutzgesetz (BDSG)

423 Aufrufe

Veröffentlicht am

Ausdruck des BDSG.

Veröffentlicht in: Recht
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
423
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
10
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Bundesdatenschutzgesetz (BDSG)

  1. 1. Bundesdatenschutzgesetz Text und Erläuterungen Info 1
  2. 2. Impressum Herausgeber: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Postfach 14 68, 53004 Bonn Hausanschrift: Husarenstraße 30, 53117 Bonn Tel. +49 (0) 228 997799-0 Fax +49 (0) 228 997799-550 E-Mail: ref1@bfdi.bund.de Internet: www.datenschutz.bund.de 18. Auflage, Januar 2016 Realisation: Appel & Klinger Druck und Medien GmbH Bildnachweis: iStockphoto
  3. 3. Bundesdatenschutzgesetz Text und Erläuterungen BfDI – Info 1
  4. 4. 4 BfDI – Info 1 1 Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit................................................................................... 8 2 Sicherung des Persönlichkeitsrechts durch das Bundesdatenschutzgesetz.........................................................................13 2.1 Ziel des Datenschutzes........................................................................................13 2.2 Einführung in das Datenschutzrecht................................................................16 2.3 Anwendungsbereich des Bundesdatenschutzgesetzes................................18 2.4 Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist!............................................................................................................. 22 2.5 Zweckbindungsgrundsatz................................................................................. 24 2.6 Datenerhebung................................................................................................... 27 2.7 Übermittlung von Daten....................................................................................30 2.8 Vorherige Kontrolle risikoreicher Datenverarbeitung (sog. Vorabkontrolle).......................................................................................... 33 2.9 Technische und organisatorische Sicherung des Datenschutzes......................................................................................................34 2.10 Der behördliche und betriebliche Beauftragte für den Datenschutz.........................................................................................................38 2.11 Datenverarbeitung im Auftrag.........................................................................40 3 Besonderheiten bei der Datenverarbeitung durch nicht- öffentliche Stellen, Privatwirtschaft, Vereine etc..................................42 3.1 Rechtsgrundlagen der Datenverarbeitung.................................................... 42 3.2 Werbung und Adresshandel.............................................................................43 3.3 Die Tätigkeit von Auskunfteien.........................................................................46 3.4 Scoring.................................................................................................................. 47 4 Rechte der Bürgerinnen und Bürger...................................................... 49 4.1 Das Recht auf Auskunft......................................................................................49 4.2 Das Einsichtsrecht in das Verfahrensverzeichnis..........................................53 4.3 Die Rechte auf Benachrichtigung, Berichtigung, Sperrung oder Löschung.....................................................................................................55 4.4 Das allgemeine Widerspruchsrecht................................................................59 4.5 Die Rechte bei automatisierten Einzelentscheidungen...............................60 4.6 Die Rechte beim Einsatz von Videoüberwachung........................................62 4.7 Das Recht auf Anrufung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie anderer Kontrollinstitutionen.........................................................................................64 4.8 Das Recht auf Schadensersatz...........................................................................65 Inhaltsverzeichnis
  5. 5. 5 5 Seien Sie Ihr eigener Datenschutzbeauftragter! .................................. 66 6 Begriffe und ihre Bedeutung.....................................................................67 Anhang 1: Bundesdatenschutzgesetz (BDSG)...................................................70 Anhang 2: Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.......................................................138 Anhang 3: Auszug aus dem Urteil des Ersten Senats des Bundes­ verfassungsgerichts vom 15. Dezember 1983 – 1BvR 209/83 u. a. – sog. Volkszählungsurteil.................................180 Anhang 4: Auszug aus dem Urteil des Ersten Senats des Bundesverfassungsgerichts vom 27. Februar 2008 –  1 BvR 370/07, 1 BvR 595/07 -...............................................................186 Anhang 5: Anschriften der Datenschutzbeauftragten des Bundes und der Länder................................................................................ 200 Anhang 6: Anschriften der Aufsichtsbehörden für den nicht-öffentlichen Bereich............................................................ 203 Anhang 7: Anschriften der Rundfunkbeauftragten für den Datenschutz......................................................................................207 Anhang 8: Informationen zum Datenschutz im Internet........................... 209 Anhang 9: Organigramm der Bundesbeauftragten für den Daten­schutz und die Informationsfreiheit.................................210
  6. 6. 6 BfDI – Info 1 Vorwort Eine Informationsgesellschaft ohne Daten ist nicht denkbar.ObOnline-Shopping,Navigationssysteme, Messenger-Dienste, Internet-Banking oder elek- tronische Verwaltung: wir sind es gewohnt, dass beinahe jedes alltägliche Handeln mit einer Erhebung, Verarbeitung und Nutzung unserer personenbezogenen Daten verbunden ist. Nie zuvor in der Geschichte wurde unser Verhalten, das ganze Leben eines Menschen technisch so perfektundvollständigabgebildet.Diesbeschränkt sich nicht nur auf die Nutzung von Computern oder Smartphones. Auch viele Gegenstände unseres Alltags sind mit digitalen Komponenten ausgerüstet, deren Verwendung eine Datenspur hinterlässt, die dem jeweiligen Nutzer in den meisten Fällen direkt zugeordnet werden kann. Die Erhebung, Verarbeitung und Nutzung unserer personenbezogenen Daten findet allerdingsnichtimrechtsfreienRaumstatt.DieGesetzgeberinBundundLändernhaben eine Vielzahl datenschutzrechtlicher Vorschriften erlassen. Das für die öffentlichen Stellen des Bundes und die nicht-öffentlichen Stellen wichtigste Gesetz ist das Bundesdatenschutzgesetz. Es soll dazu beitragen, das Grundrecht auf informationelle Selbstbestimmung zu verwirklichen. Es setzt die Europäische Datenschutzrichtlinie 95/46/EG vom 24. Oktober 1995 um, die für den ganzen Europäischen Wirtschaftsraum einheitliche Datenschutzstandards gesetzt hat. Datenschutz ist kein Selbstzweck. Vielmehr steht die Sicherung und Verwirklichung eines Grundrechts im Mittelpunkt, das unmittelbar aus der Menschenwürde und der freien Entfaltung der Persönlichkeit folgt. Der Europäische Gerichtshof und das
  7. 7. 7 Bundesverfassungsgericht haben mehrfach die Rolle der Datenschutzaufsicht als Hüterin des Rechts auf informationelle Selbstbestimmung hervorgehoben und betont, Eingriffe in dieses Grundrecht seien nur unter der Voraussetzung zulässig, dass eine unabhängige Datenschutzkontrolle besteht. Diese Unabhängigkeit ist kein hehrer Selbstzweck, sondern Ausdruck des Prinzips, dass eine Kontrollinstanz frei von der Einflussnahme durch die kontrollierten Stellen agieren muss. Um diesen Erfordernissen nunauchaufBundesebeneRechnungzutragen,hatderDeutscheBundestageinGesetz verabschiedet, mit dem die Bundesbeauftragte mit Wirkung vom 1. Januar 2016 eine eigenständige oberste Bundesbehörde wird, die nur noch parlamentarischer und gerichtlicher Kontrolle unterliegt. Der Datenschutz kann den Einzelnen nicht vor jeglicher Form von Verarbeitung seiner Daten bewahren, aber er soll es ihm ermöglichen, grundsätzlich selbst darüber zu be- stimmen, „wer was über ihn weiß“. Diese Informationsbroschüre will dazu beitragen, das Datenschutzrecht verständlich darzustellen, die Bürgerinnen und Bürger über ihre Rechte zu informieren und ihnen zu helfen, zum Schutz ihrer eigenen Daten aktiv zu werden. Sie enthält neben dem Gesetzestext und weiteren wichtigen Materialien eine kurze Einführung in die nicht immer einfache Materie. Zugleich eignet sie sich als Ba- sisinformation auch für diejenigen, die beruflich mit personenbezogenen Daten umge- hen. Bonn, im Dezember 2015 Andrea Voßhoff Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
  8. 8. 8 BfDI – Info 1 1 DieBundesbeauftragtefürdenDatenschutzunddie Informationsfreiheit Gesetzesbestimmungen: §§ 22 bis 26 Bundesdatenschutzgesetz (BDSG) DieInstitutiondesBundesbeauftragtenfürdenDatenschutzunddieInformationsfreiheit besteht seit 1978. Seit dem 6. Januar 2014 ist Andrea Voßhoff Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Der Bundesbeauftragten stehen bei der Wahrnehmung ihrer Aufgaben derzeit etwa 110 Mitarbeiterinnen und Mitarbeiter in Bonn und in Berlin zur Seite. Die Organisation und Aufgabenverteilung sind im An- hang 9 dargestellt. Der Bundestag hat mit der Bundesbeauftragten für den Datenschutz und die Informa- tionsfreiheit eine Institution geschaffen, die ihn unparteiisch und fachkundig über alle Entwicklungen auf dem Gebiet des Datenschutzes unterrichtet und ihm Hinweise gibt, wo er durch Gesetze oder andere Maßnahmen in die Entwicklung eingreifen sollte. Hauptaufgaben der Bundesbeauftragten für den Datenschutz und die Informations- freiheit sind: ■■ Beratung des Deutschen Bundestages, der Bundesregierung, aller öffentlichen Stellen des Bundes sowie sonstiger Stellen (vgl. § 26), ■■ Durchführung von Kontrollen (vgl. §§ 24, 25), ■■ Bearbeitung von Eingaben (vgl. § 21), ■■ Europäische und internationale Zusammenarbeit in Datenschutzfragen. Bundesdatenschutzgesetz
  9. 9. 9 Beratung Die Bundesbeauftragte berät ■■ denBundestagunddieBundesregierungdurchErstellenvonTätigkeitsberichten,Er- stattung von Gutachten und im Rahmen von Gesetzgebungsverfahren, ■■ die Bundesministerien (auch bei der Vorbereitung von Gesetzen und Vorschriften über den Datenschutz), ■■ die Behörden und öffentlichen Stellen des Bundes (einschließlich ihrer Personalver- tretungen) bei allen Fragen, die mit der praktischen Umsetzung des Datenschutzes verbunden sind. Eingaben Die Bundesbeauftragte berät auch im Rahmen ihrer Zuständigkeiten die Bürgerinnen und Bürger. Hier wird sie bei der Überprüfung von über 12.000 schriftlichen und münd- lichen Eingaben und Anfragen im Jahr kontrollierend und auch beratend als Anwältin der Bürgerinnen und Bürger tätig (vgl. Nr. 4.8). Kontrollen Sehr wichtig ist auch die Kontrolle, ob die rechtlichen Bestimmungen zum Datenschutz umgesetzt und eingehalten werden, damit der Datenschutz nicht nur auf dem bekannt „geduldigen“ Papier steht. Die Bundesbeauftragte kontrolliert alle öffentlichen Stellen des Bundes, also Bundesministerien, Dienststellen des Zolls, der Bundespolizei, der Bundeswehr, die Wasser- und Schifffahrtsdirektionen wie auch bestimmte Träger der sozialen Sicherung, z.B. die Agenturen für Arbeit, gesetzliche Krankenkassen, Unfallkassen oder die Deutsche Rentenversicherung Bund. Außerdem hat die Bundesbeauftragte die Datenschutzaufsicht über die Telekommunikations- und Postdienstunternehmen inne. Jedes Jahr werden eine Vielzahl dieser Behörden und Unternehmen in einer mehrtägigen Kontrolle umfassend oder in bestimmten Ausschnittendaraufhinüberprüft,obderDatenschutzeingehaltenwird.Dabeigehtesbei den Rechtsgrundlagen um das Bundesdatenschutzgesetz oder die bereichsspezifischen
  10. 10. 10 BfDI – Info 1 Rechtsvorschriften, aber z.B. auch um die ­Gestaltung von Fragebögen, die Sicherheit in Computernetzen oder die datenschutzgerechte Aktenvernichtung. Kontrolliert wird ebenfalls, ob z.B. Auskunftswünsche von Betroffenen richtig erfüllt worden sind und ob bei Datenübermittlungen nicht zu großzügig verfahren wird. Die Kontrollergebnisse werden in einem schriftlichen Kontrollbericht niedergelegt. Tätigkeitsberichte Wer mehr über die Tätigkeit der Bundesbeauftragten für den Datenschutz und die In- formationsfreiheit wissen möchte, kann dies in ihren Tätigkeitsberichten nachlesen. Der Tätigkeitsbericht, in dem die Bundesbeauftragte den Bundestag und die Öffent- lichkeit alle zwei Jahre über die wesentlichen Entwicklungen im Datenschutz und die Schwerpunkte ihrer Aufgabenwahrnehmung unterrichtet, kann – wie auch andere In- formationsmaterialien – kostenlos unter folgender Anschrift angefordert werden: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Husarenstraße 30 53117 Bonn E-Mail: poststelle@bfdi.bund.de Die Tätigkeitsberichte und viele weitere Informationsmaterialien stehen auch in elekt- ronischer Form unter folgender Internet-Adresse zum Abruf bereit: www.datenschutz.bund.de Die Bundesbeauftragte kann Kritik und Vorschläge gegenüber den Ministerien und sonstigen Bundesbehörden, dem Parlament und der Öffentlichkeit äußern. Weisungs- rechte besitzt sie nicht. Die Bundesbeauftragte hat auch die Möglichkeit, einen festge- stellten Datenschutzverstoß bei den Strafverfolgungsbehörden anzuzeigen und Straf- antrag zu stellen. DIE BUNDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT
  11. 11. 11 Die Tätigkeitsberichte finden im Deutschen Bundestag große Beachtung. Sie werden in den zuständigen Ausschüssen beraten. In vielen Fällen hat der Bundestag Anregungen aufgegriffen, etwa ■■ durch Unterstützung von Vorschlägen der Bundesbeauftragten oder durch Formu- lierung entsprechender Prüfungsbitten an die Bundesregierung, ■■ durch die Aufforderung an die Bundesregierung, zu bestimmten Fragen Gesetzent- würfe vorzubereiten, oder ■■ durch Anregungen, die Verwaltungspraxis datenschutzfreundlicher zu gestalten oder über bestimmte Problembereiche gesondert Bericht zu erstatten. Die Rechtsstellung der Bundesbeauftragten für den ­Datenschutz und ­die ­Informationsfreiheit Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wird ohne Aussprache auf Vorschlag der Bundesregierung vom Deutschen Bundestag mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder gewählt. Sie muss bei ihrer Wahl das 35. Lebensjahr vollendet haben und ist vom Bundespräsidenten zu ernennen. Ihre Amtszeit beträgt fünf Jahre. Eine einmalige Wiederwahl ist zulässig. Die Bundesbeauftragte ist in der Ausübung ihres Amtes unabhängig und nur dem Gesetz unterworfen. Weder einzelne Minister noch die Bundesregierung können ihr Weisungen in Bezug auf ihre Amtstätigkeit geben. Der Dienstsitz ist Bonn; die Bundesbeauftragte hat außerdem ein Verbindungsbüro in Berlin. Ihre Beamtinnen und Beamte sind solche des Bundes. Seit dem 1. Januar 2016 ist die Bundesbeauftragte für den Datenschutz und die Informa- tionsfreiheit eine eigenständige oberste Bundesbehörde und damit völlig unabhängig. Die bisher bestehende Rechtsaufsicht der Bundesregierung sowie die Dienstaufsicht des Bundesministeriums des Innern entfallen. Die Dienststelle der Bundesbeauftrag- ten wurde organisatorisch aus dem Bundeministerium des Innern herausgelöst. Der Gesetzgeber kommt damit seiner aus Artikel 28 der Europäischen Datenschutzrichtli-
  12. 12. 12 BfDI – Info 1 nie (Richtlinie 95/46/EG) resultierenden Verpflichtung nach, auch auf der Bundesebene eine völlig unabhängige Datenschutzkontrolle einzurichten. Der Europäische Gerichts- hof hatte zuvor in mehreren Urteilen die Bedeutung einer unabhängigen Datenschutz- kontrolle präzisiert. DieBundesbeauftragtefürdenDatenschutzunddieInformationsfreiheithatumfassen- de Untersuchungsbefugnisse. Alle öffentlichen Stellen des Bundes sind verpflichtet, sie und ihre Mitarbeiterinnen und Mitarbeiter bei der Erfüllung ihrer Aufgaben zu unter- stützen. Insbesondere müssen sie ■■ ihre Fragen beantworten, ■■ ihr Einsicht in alle Unterlagen und Akten gewähren, insbesondere in die gespeicher- ten Daten und in die Datenverarbeitungsprogramme, und ■■ ihr jederzeit Zutritt zu allen Diensträumen gestatten. Die Bundesbeauftragte hat auch Zugang zu Unterlagen, die einer besonderen Geheim- haltung unterliegen (vgl. dazu § 24 Absatz 2). Sie hat das Recht, jederzeit auch ohne kon- kreten Anlass Kontrollen durchzuführen, wobei es keine Rolle spielt, wie die personen- bezogenen Daten verarbeitet worden sind, ob automatisiert oder in Akten. Die Bundesbeauftragte hat ein Zeugnisverweigerungsrecht, darf also auch vor Gericht schweigen und ihre Unterlagen jedem Dritten vorenthalten. Bürgerinnen und Bürger können sich ihr anvertrauen, ohne befürchten zu müssen, dass davon etwas nach außen dringt. Stellt die Bundesbeauftragte Datenschutzverstöße fest, so beanstandet sie sie förmlich. Darauf kann sie aber verzichten, wenn die Mängel unerheblich sind oder zwischenzeit- lich beseitigt wurden. Im Falle einer Beanstandung muss sich das zuständige Ministe- rium oder die sonstige höchste vorgesetzte Stelle um die Angelegenheit kümmern. Sie wird dann auch prüfen müssen, ob Anlass besteht, über den Einzelfall hinaus korrigie- rende Maßnahmen zu treffen. DIE BUNDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT
  13. 13. 13 2 SicherungdesPersönlichkeitsrechtsdurchdas Bundesdatenschutzgesetz 2.1 Ziel des Datenschutzes Gesetzesbestimmungen:§1Abs.1Bundesdatenschutzgesetz(BDSG),Art.1und­­2 ­Grundgesetz Der Datenschutz soll den Menschen vor der Gefährdung durch die nachteiligen Folgen einer Datenverarbeitung schützen. § 1 Absatz 1 BDSG umschreibt dies so: „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ Das Persönlichkeitsrecht wird abgeleitet aus den Grundrechten der Verfassung. „Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist die Verpflich- tung aller staatlichen Gewalt.“ (Artikel 1 Absatz 1 Grundgesetz) „Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz ver- stößt.“ (Artikel 2 Absatz 1 Grundgesetz) Diese Verfassungsartikel sind auch die Grundlage des Datenschutzes. Das Bundesver- fassungsgericht hat dazu im sog. Volkszählungsurteil vom 15. Dezember 1983 (Auszug als Anhang 3 abgedruckt) folgendes festgestellt: „Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“.
  14. 14. 14 BfDI – Info 1 Zur Begründung führt das Gericht aus: „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Infor- mationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wis- sen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesell- schaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauer- haft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen.“ Das Bundesverfassungsgericht hat auch nach dem Volkszählungsurteil immer wieder den Schutz der Privatsphäre gestärkt. Im Februar 2008 hat das Gericht seine Rechtspre- chung zum Schutz des Persönlichkeitsrechts angesichts fortschreitender technischer Möglichkeiten durch Formulierung eines „Grundrecht aufs Gewährleistung der Ver- traulichkeit und Integrität der informationstechnischen Systeme“ weiterentwickelt (1 BvR 370/07; 1 BvR 595/07; Auszug als Anhang 4 abgedruckt). Ebenso wie das Recht auf informationelle Selbstbestimmung ist es eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts, geht aber über das Individual-Grundrecht auf informationelle Selbstbestimmung hinaus. Es schützt die Bürgerinnen und Bürger vor den neuartigen Gefahren, die mit der Nutzung von vernetzten Computern, mobilen und multifunkti- onalen Geräten verbunden sind. Das Grundrecht schützt das Vertrauen der Berechtig- ten, selbst über ihr System, dessen Leistungen, Funktionen und Inhalte bestimmen zu können. Allerdings braucht der moderne Rechts- und Sozialstaat auch in großem Umfang per- sonenbezogene Daten, um seine vielfältigen Aufgaben fachlich richtig und gerecht erfüllen zu können. Die Sozialämter, die Schulen, die Steuerbehörden und die Polizei könnten ihre Aufgaben nicht ordentlich erfüllen, wenn sie allein auf die freiwillige Mit- wirkung der Menschen angewiesen wären. Das Recht auf informationelle Selbstbestim- mung kann deshalb nicht schrankenlos sein. Das hat auch das Bundesverfassungsge- SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  15. 15. 15 richt festgestellt, zugleich aber eindeutige Grenzen für Einschränkungen dieses Rechts bestimmt: Einschränkungen des Rechts auf informationelle Selbstbestimmung sind nur aufgrund eines Gesetzes zulässig. Das Gesetz muss ■■ im überwiegenden Allgemeininteresse erforderlich sein, ■■ die Voraussetzungen für die Einschränkung des Grundrechts und deren Umfang für den Bürger erkennbar regeln, also dem Gebot der Normenklarheit entsprechen und ■■ den Grundsatz der Verhältnismäßigkeit beachten. Wenn Gesetze in das Recht auf informationelle Selbstbestimmung des Einzelnen ein- greifen, dann muss der Gesetzgeber folgende Punkte beachten: ■■ Nur das erforderliche Minimum an Daten darf verlangt werden. ■■ Die Daten dürfen grundsätzlich nur für den Zweck verwendet werden, für den sie er- hoben oder erfasst wurden. ■■ Der Gesetzgeber muss durch ergänzende Vorkehrungen dafür sorgen, dass auch bei der Organisation und beim Verfahren des Umgangs mit personenbezogenen Daten auf die Rechte des Einzelnen Rücksicht genommen wird (z.B. durch Mitwirkungs- und Kontrollrechte). Das Recht auf den Schutz personenbezogener Daten wurde auch in Artikel 8 der Char- ta der Grundrechte der Europäischen Union sowie in Artikel 16 des Vertrages über die Arbeitsweise der Europäischen Union aufgenommen. Die Richtlinie 95/46/EG des Euro- päischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Perso- nen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (als Anhang 2 abgedruckt) gibt in Artikel 1 Absatz 1 den Mitgliedsstaaten vor, nach den Be- stimmungen der Richtlinie den Schutz der Grundrechte und Grundfreiheiten und ins- besondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung per- sonenbezogener Daten zu gewährleisten. Seit Inkrafttreten des Vertrags von ­Lissabon
  16. 16. 16 BfDI – Info 1 ist die Charta der Grundrechte nicht nur für die Europäische Union und ihre Institutio- nen, sondern auch für die Mitgliedstaaten bindendes Recht. Wesentliche Bestimmungen des Bundesdatenschutzgesetzes werden im Folgenden vorgestellt. 2.2 Einführung in das Datenschutzrecht Das Bundesdatenschutzgesetz (BDSG) stellt Regeln für den Umgang mit personenbe- zogenen Daten auf. Jegliche Verarbeitung von personenbezogenen Daten bedarf ei- ner ausdrücklichen Erlaubnis, sei es durch ein Gesetz oder durch eine Einwilligung des Einzelnen. Das Gesetz enthält Schutzregelungen für das informationelle Selbstbestim- mungsrecht.DazugehörenauchdieRechtedervonderDatenverarbeitungbetroffenen BürgerinnenundBürger.DasGesetzverpflichtetdieDatenverarbeiteralsovonvornehe- rein, die rechtlichen „Spielregeln“ der Datenverarbeitung zu beachten und die Bürger über den Umgang mit ihren Daten zu informieren. Es weist aber auch den betroffenen Bürgerinnen und Bürgern eine Reihe von Rechten ausdrücklich zu. Vorrangiges Ziel des Datenschutzes ist es, eine Gefährdung des Persönlichkeitsrechts des Einzelnen von vorneherein zu verhindern durch das Aufstellen von Verwendungs- regeln für personenbezogene Daten und über die Gestaltung und den Einsatz von Infor- mationstechnik. Die Entwicklung und der Einsatz datenschutzfreundlicher IT-Systeme hat zunehmende Bedeutung. Im Mittelpunkt steht dabei, dass möglichst keine personenbezogenen Da- ten, oder – wo das nicht möglich ist – so wenig wie möglich personenbezogene Daten verwendetwerden.RiesigeDatenmengensollenerstgarnichtentstehen(Datenvermei- dung bzw. Datensparsamkeit). Die technisch-organisatorischen Maßnahmen, die nach § 9 und seiner dazu ergangenen Anlage zu treffen sind, sollen die Daten u. a. gegen un- erlaubten Zugriff und Verwendung sichern. SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  17. 17. 17 Die Datenschutzaufsicht ist mehr als eine begleitende und ggf. sanktionierende Kont- rollinstanz. Einen Schwerpunkt ihrer Arbeit bildet die vorbeugende Beratung. Behör- den und Unternehmen, Bürgerinnen und Bürger sollten daher keine Scheu haben, bei den Datenschutzbehörden Rat zu suchen. Angesichts der immer größer werdenden Flut unterschiedlichster Formen der Daten- verarbeitung und Informationsgewinnung können aber auch Kontrollbehörden nicht überall sein. Alle Rechte und technischen Möglichkeiten sind nur dann von Nutzen, wenn Bürgerinnen und Bürger sie kennen, von ihnen Gebrauch machen und sich auch selbst gegen einen möglichen Missbrauch ihrer Daten schützen. Dabei können sie die Hilfe der Datenschutzbehörden in Anspruch nehmen. Auch die Verantwortung der Daten verarbeitenden Stellen muss hier greifen. Sie sind aufgeru- fen, im Rahmen der Gesetze eigene selbstverpflichtende Regelungen innerhalb ihrer Branchen oder auch im internationalen Rahmen zu entwickeln. Eine besonders wichtige Rolle haben auch die Datenschutzbeauftragten in Behörde und Betrieb inne. Sie sind Triebkraft des Datenschutzes in ihrer Behörde oder in ihrem BetriebundzugleichKoordinatorenfüralleDatenschutzmaßnahmen.Gleichzeitigsind sie Ansprechpartner für Bürgerinnen und Bürger. Wenn es zu einem Verstoß gegen Datenschutzrecht und einem Schaden gekommen ist, bleibt dies nicht ohne Folgen. Der Gesetzgeber hat kürzlich die bestehenden Bußgeld- vorschriften im BDSG erweitert und die Bußgeldhöhe angehoben. Die Rechtsstellung derAufsichtsbehördenwurdeerheblichgestärkt.DiesehabenerstmalswirksameHand- lungsmöglichkeiten und können strittige Auslegungsfragen gerichtlich klären lassen. Zudem wurde eine neue Pflicht zur Information der Betroffenen und der Datenschutz- aufsichtsbehörden bei Datenschutzpannen geschaffen. Aber es gilt: „Vorbeugen ist besser, also seien Sie Ihr eigener Datenschutzbeauftragter!“
  18. 18. 18 BfDI – Info 1 2.3 Anwendungsbereich des Bundesdatenschutzgesetzes Gesetzesbestimmungen: §§ 1 Absatz 2 und 3, 2, 12, 27 BDSG Das Bundesdatenschutzgesetz gilt uneingeschränkt für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen (Private). Nur sehr eingeschränkt gilt es für die Rund- funkanstalt des Bundes, die Deutsche Welle. Es findet keine Anwendung bei den öffent- lichen Stellen der Länder und im Bereich der Kirchen. Weitgehende Ausnahmen gibt es auch für Presseunternehmen, soweit sie personenbezogene Daten ausschließlich zu journalistisch-redaktionellen Zwecken verarbeiten. Bereichsspezifische Regelungen gehen dem Bundesdatenschutzgesetz vor. Öffentliche Stellen des Bundes sind ■■ Behörden des Bundes, ■■ Organe der Rechtspflege des Bundes, ■■ andere öffentlich-rechtlich organisierte Einrichtungen im Bundesbereich (z.B. Kör- perschaften,AnstaltenundStiftungendesöffentlichenRechtsunter­Bundesaufsicht), ■■ bestimmte Vereinigungen öffentlicher Stellen des Bundes und bestimmte von die- sen beherrschte Unternehmen, Gesellschaften oder Einrichtungen, auch in privater Rechtsform. Öffentliche Stellen der Länder sind ■■ Behörden der Länder, ■■ Organe der Rechtspflege der Länder, ■■ andere öffentlich-rechtlich organisierte Einrichtungen im Landes- und Kommunal- bereich, ■■ bestimmte Vereinigungen, Gesellschaften, Unternehmen und Einrichtungen öffent- licher Stellen eines Landes, auch in privater Rechtsform. SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  19. 19. 19 Die Länder haben jeweils Landesdatenschutzgesetze, welche den Umgang der Landes- behörden mit personenbezogenen Daten regeln. Nähere Informationen erhalten Sie bei den Landesbeauftragten für den Datenschutz (Anschriften siehe Anhang 5). Beispiele: Behörden des Bundes sind die Ministerien und alle ihnen nachgeordneten Behörden, etwa die Bundespolizeidirektionen, die Bundesfinanzdirektionen oder die Wasser- und Schiff- fahrtsdirektionen. Organe der Rechtspflege sind die Bundesgerichte (z. B. Bundesgerichtshof, Bundesverwal- tungsgericht) sowie der Generalbundesanwalt. Andere öffentlich-rechtliche Einrichtungen sind die Agenturen für Arbeit, die Deutsche Rentenversicherung Bund oder die Stiftung Preußischer Kulturbesitz. Vereinigungen öffentlicher Stellen sind die Gesellschaft für Technische Zusammenarbeit (GTZ) oder die Kunst- und Ausstellungshalle der Bundesrepublik Deutschland GmbH. Öffentliche Stellen der Länder sind etwa Landesministerien, Polizeibehörden, Kommu- nen, Universitäten, öffentlich-rechtliche Rundfunkanstalten (außer der Deutschen Welle, die eine Bundesrundfunkanstalt ist), Schulen, staatliche und kommunale Krankenhäuser. Nicht-öffentliche Stellen sind ■■ juristische Personen und Personenvereinigungen des Privatrechts. ■■ Auch natürliche Personen können nicht-öffentliche Stellen im Sinne des Daten- schutzrechts sein, soweit sie personenbezogene Daten verarbeiten. Soweit Private hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen (etwa als „beliehene Unternehmer“ tätig werden), sind sie allerdings öffentliche Stellen.
  20. 20. 20 BfDI – Info 1 Beispiel: Nach § 9a Absatz 1 des Handelsgesetzbuches und der eBundesanzeiger-Verordnung führt die Bundesanzeiger Verlagsgesellschaft mbH als Beliehene das Unternehmensregister. Sie ist hinsichtlich der Verarbeitung personenbezogener Daten im Zusammenhang mit der Erfül- lung dieser Aufgabe als öffentliche Stelle anzusehen. Hinsichtlich ihrer sonstigen Geschäfts- tätigkeit ist das Unternehmen hingegen eine nicht-öffentliche Stelle. Nicht-öffentliche Stellen unterliegen dem Bundesdatenschutzgesetz aber nur, soweit ■■ sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder ■■ DateninoderausnichtautomatisiertenDateienverarbeiten,nutzenoderdafürerheben. Ausgenommen ist die Erhebung, Verarbeitung oder Nutzung der Daten ausschließlich für persönliche oder familiäre Tätigkeiten. Beispiel: Das Führen eines privaten Adressbuchs – auch in elektronischer Form – oder das Sammeln personenbezogener Daten zur Pflege eines Hobbys fallen nicht unter das Datenschutzrecht. Auch die Videoüberwachung des Nachbargrundstücks zu rein privaten Zwecken fällt nicht unter das Datenschutzrecht, kann aber zu berechtigten zivilrechtlichen Unterlassungs- und Beseitigungsansprüchen führen. Die Videoüberwachung eines öffentlich zugänglichen Rau- mes durch eine Privatperson zum Zwecke der Gefahrenabwehr oder Beweissicherung ist hin- gegen keine private Tätigkeit mehr. Das Bundesdatenschutzgesetz ist auch schon bei der Erhebung personenbezogener Da- ten zu beachten. Dies ist besonders wichtig, damit der Umgang mit den personenbezo- genen Daten von Anfang an in die richtigen Bahnen gelenkt wird. Ebenso wichtig ist, dass das Bundesdatenschutzgesetz im öffentlichen Bereich auch für Daten in Akten und anderen Unterlagen gilt. Über die bereits genannten Einschränkun- gen im nicht-öffentlichen Bereich hinaus gilt das Bundesdatenschutzgesetz dort auch SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  21. 21. 21 für solche personenbezogenen Daten, die offensichtlich aus einer automatisierten Ver- arbeitung entnommen worden sind, etwa für listenmäßige Ausdrucke aus Dateien. Kirchen, Religionsgemeinschaften und kirchliche Einrichtungen Mit Blick auf die verfassungsrechtlich garantierte Autonomie von öffentlich-rechtli- chen Religionsgemeinschaften gilt das Bundesdatenschutzgesetz in diesem Bereich (einschließlich der angeschlossenen kirchlichen karitativen Einrichtungen) nicht. Die Evangelischen Kirchen in Deutschland und die Bistümer der Katholischen Kirche in Deutschland und andere Religionsgemeinschaften haben eigene Datenschutzvor- schriften erlassen. Diese sind jedoch weitestgehend an die Bestimmungen des Bun- desdatenschutzgesetzes angepasst und sehen auch die Einrichtung kirchlicher Daten- schutzbeauftragter vor (siehe dazu Kapitel 4.7). Rundfunkanstalten Aufgrund der verfassungsrechtlich garantierten Rundfunkfreiheit gelten auch für die journalistisch-redaktionelle Arbeit in den öffentlich-rechtlichen und privaten Rundfunkanstalten (Fernsehen und Hörfunk) die allgemeinen datenschutzrechtli- chen Bestimmungen nur eingeschränkt. An ihre Stelle treten rundfunkspezifische Datenschutzvorschriften, die einen Ausgleich zwischen dem Grundrecht auf infor- mationelle Selbstbestimmung und dem Grundrecht der Rundfunkfreiheit zu errei- chen suchen. Von Bedeutung ist hierfür der Rundfunkstaatsvertrag, der nach seinem § 1 in gleicher Weise die Grundlage für den öffentlich-rechtlichen, wie den privaten Rundfunk bildet und in § 47 den Datenschutz regelt. Besonderheiten bestehen auch bei der Datenschutzkontrolle. Weitere Ausführungen dazu finden sich in Kapitel 4.7. Bereichsspezifische Regelungen Das Bundesdatenschutzgesetz stellt allgemeine datenschutzrechtliche Grundregeln auf. Diese Grundregeln passen allerdings nicht überall. Und sie sind nicht überall aus-
  22. 22. 22 BfDI – Info 1 reichend. Man braucht nur etwa an die Gesundheits- und Sozialbehörden, die Melde- ämter, die Polizei und den Verfassungsschutz zu denken. Darum gibt es zahlreiche da- tenschutzrechtliche Spezialregelungen in anderen Gesetzen, etwa ■■ das Sozialgesetzbuch, ■■ das Bundesverfassungsschutzgesetz, ■■ das Bundespolizeigesetz, ■■ das Telekommunikationsgesetz. Diese – und viele weitere – sog. „bereichsspezifischen Regelungen“ gehen dem Bundes- datenschutzgesetz vor. Beispiele: ■■ Eine gesetzliche Krankenkasse kann Sozialdaten nur nach den §§ 67d ff. SGB X sowie spe- ziellen Vorschriften des SGB V übermitteln. Ein Rückgriff auf das BDSG ist ausgeschlossen. ■■ Die Bundespolizei kann sich bei der Erhebung personenbezogener Daten nur auf die §§ 21 ff. BPolG stützen. § 13 BDSG ist nicht anwendbar. ■■ Ein Telekommunikationsanbieter darf seine Bestandsdaten nur im Rahmen von § 95 TKG zu Werbezwecken nutzen. Es ist ihm nicht erlaubt, auf die – weniger strikten – allgemei- nen Vorschriften in § 28 BDSG zurückzugreifen. 2.4 Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist! Gesetzesbestimmungen: §§ 4, 4a, 28 BDSG Für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten gilt als allge- meiner Grundsatz ein sogenanntes Verbot mit Erlaubnisvorbehalt. Die Erhebung, Ver- arbeitung und Nutzung von Daten sind verboten, es sei denn, ■■ sie sind durch eine Rechtsvorschrift ausdrücklich erlaubt oder angeordnet oder ■■ der Betroffene hat dazu seine Einwilligung erklärt. SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  23. 23. 23 Wenn eine Rechtsvorschrift den Umgang mit personenbezogenen Daten ausdrücklich erlaubt oder sogar anordnet, kommt es auf die Einwilligung des Betroffenen nicht an. Soll eine Einwilligung Grundlage für eine Erhebung, Verarbeitung oder Nutzung sein, ist zu beachten: ■■ Die Einwilligung muss tatsächlich freiwillig sein. ■■ Die Einwilligung bedarf grundsätzlich der Schriftform. Davon darf nur abgewichen werden, wenn wegen besonderer Umstände eine andere Form angemessen ist. ■■ Der Betroffene ist vorher über die Tragweite seiner Einwilligung aufzuklären (insbe- sondere über den Verarbeitungszweck und die verantwortliche Stelle). ■■ Er ist auch darüber zu informieren, was geschieht, wenn er nicht einwilligt (z.B. dass Ansprüche verloren gehen können), soweit nach den Umständen des Einzelfalls er- forderlich oder wenn er dies verlangt. Die Einwilligung muss auf der freien Entscheidung des Betroffenen beruhen, d.h. sie muss frei von Zwang sein. Dabei ist auch zu berücksichtigen, ob sich der Betroffene in einem besonderen Abhängigkeitsverhältnis (z.B. Arbeitsverhältnis) befindet, oder ob aufgrund einer faktischen Situation (beispielsweise Monopolstellung desjenigen, der die Einwilligung einholen will) ein Zwang besteht. Besonders geregelt hat der Gesetzgeber die Einwilligung zu Werbezwecken (vgl. § 28). Näheres hierzu finden Sie im Kapitel 3.2 „Werbung und Adresshandel“. Bei der Verarbeitung besonderer Arten personenbezogener Daten gem. § 3 Absatz 9 (Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.
  24. 24. 24 BfDI – Info 1 2.5 Zweckbindungsgrundsatz Gesetzesbestimmungen: §§ 14, 28, 29, 31 BDSG Personenbezogene Daten dürfen durch öffentliche Stellen gespeichert, verändert oder genutzt werden, soweit ■■ dies zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und ■■ sie für die Zwecke erfolgt, für die die Daten erhoben worden sind (falls keine Erhe- bung voran ging: für die sie erstmalig gespeichert worden sind). Das heißt, dass per- sonenbezogene Daten grundsätzlich nur zu den Zwecken verarbeitet werden dür- fen, für die sie erhoben bzw. gespeichert worden sind (Zweckbindungsgrundsatz). Beispiel: EineBehördeerhältvoneinemBürgerNamenundAnschrift,umihmeinebestellteBroschüre liefern zu können. Die Übermittlung dieser Daten an den Spediteur wäre erforderlich, weil er anderenfalls nicht liefern könnte. Sie entspräche auch exakt der ursprünglichen Zweckbe- stimmung „Lieferung der Ware“. Verkauft die Behörde die Daten hingegen an einen Adress- händler zum Zwecke der Werbung, entspricht dies nicht mehr der Zweckbestimmung – es bedarf dann einer Befugnis zur Zweckänderung. Von diesem Grundsatz sieht das Gesetz aber eine Reihe Ausnahmen vor. Welche Ausnahmen von der Zweckbindung gibt es? DieVerarbeitungpersonenbezogenerDatenfüreinenanderenZweckistdannzulässig,wenn ■■ eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, ■■ der Betroffene eingewilligt hat, ■■ es offensichtlich im Interesse des Betroffenen liegt, ■■ Angaben des Betroffenen überprüft werden müssen, weil begründete Zweifel an ih- rer Richtigkeit bestehen, SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  25. 25. 25 ■■ die Daten allgemein zugänglich sind oder veröffentlicht werden dürften (aber nicht, wenn das entgegenstehende schutzwürdige Interesse des Betroffenen offensichtlich überwiegt), oder wenn sie ■■ zur Gefahrenabwehr, ■■ zur Wahrung erheblicher Belange des Gemeinwohls, ■■ zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, ■■ zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte eines anderen oder ■■ zur Durchführung wissenschaftlicher Forschung (nach näher bestimmten Voraus- setzungen) erforderlich ist. Für die Verarbeitung oder Nutzung besonderer Arten personenbezogener Daten zu anderen Zwecken gilt eine Sonderregelung. Unter anderem ist danach eine Zweckän- derung zulässig, wenn die Daten für den geänderten Zweck erhoben werden dürften (vgl. § 13 Absatz 2 Nr. 1–6 oder 9). Sonderregelungen gelten auch für eine Verarbeitung von besonderen personenbezogenen Daten zur Durchführung wissenschaftlicher For- schung beziehungsweise für die Zwecke des § 13 Absatz 2 Nr. 7 – Gesundheitsvorsorge, medizinische Diagnostik und Weiteres (vgl. § 14 Absatz 5 und 6). „Besondere Arten personenbezogener Daten“ sind in § 3 Absatz 9 BDSG definiert und beinhalten Angaben über ■■ rassische und ethnische Herkunft, ■■ politische Meinungen, ■■ religiöse oder politische Überzeugungen, ■■ Gewerkschaftszugehörigkeit, ■■ Gesundheit oder ■■ Sexualleben.
  26. 26. 26 BfDI – Info 1 Das Gesetz schränkt die Möglichkeiten der Erhebung, Verarbeitung und Nutzung die- ser Daten an vielen Stellen ein. Je nach Verwendungszusammenhang können aber auch andere Kategorien personenbezogener Daten ähnlich schutzwürdig sein. Auf der anderen Seite stellt das Gesetz klar, dass eine Zweckänderung nicht vorliegt, so- weit die Daten verwendet werden für ■■ die Rechnungsprüfung, ■■ die Wahrnehmung von Aufsichts- und Kontrollbefugnissen, ■■ Organisationsuntersuchungen sowie ■■ Ausbildungs- und Prüfungszwecke der speichernden Stelle, aber nur, soweit nicht überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen (z.B. bei sehr persönlichen Angaben). Eine strikte Zweckbindung besteht dagegen für Daten, die ausschließlich gespeichert werden zur Datenschutzkontrolle, Datensicherung, zur Sicherung eines ordnungs- gemäßen Betriebs einer Datenverarbeitungsanlage oder zur wissenschaftlichen For- schung (§ 40). Für die nicht-öffentlichen Stellen gilt der Zweckbindungsgrundsatz nur eingeschränkt. Bereits bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen (vgl. § 28 Absatz 1 Satz 2). Dies gilt auch für die geschäftsmäßige Datenverarbeitung (vgl. § 29 Absatz 1 Satz 2). Ei- nen Ausnahmekatalog zu dem Grundsatz der Zweckbindung gibt es auch für den nicht- öffentlichen Bereich: Danach kommt eine Verwendung für andere Zwecke in Betracht ■■ zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten, ■■ wenn die Daten allgemein zugänglich sind oder veröffentlicht werden dürften, ■■ zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Ver- folgung von Straftaten, ■■ zu wissenschaftlichen Zwecken. SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  27. 27. 27 Es muss stets zwischen den entgegenstehenden schutzwürdigen Interessen des Betrof- fenen und dem Interesse an der Zweckänderung abgewogen werden. Beispiel: Ein Inkassounternehmen möchte von einem Arbeitgeber Anschrift und Kontoverbindung ei- nes Arbeitnehmers bekommen, um eine Forderung eintreiben zu können. Der Arbeitnehmer ist in einem sensiblen Bereich des Unternehmens tätig. Das Inkassounternehmen hat zwar ein berechtigtes Interesse, die schutzwürdigen Interessen des Arbeitnehmers überwiegen je- doch. Für Zwecke des Adresshandels oder der Werbung dürfen personenbezogene Daten dagegen grundsätzlich nur mit Einwilligung des Betroffenen verarbeitet oder genutzt werden. Zu diesem grundsätzlichen Verbot gibt es jedoch eine Reihe von Ausnahmen. Näheres hierzu finden Sie im Kapitel 3.2. „Werbung und Adresshandel“. 2.6 Datenerhebung Gesetzesbestimmungen: §§ 4, 13, 28, 29 BDSG DieErhebungvonDatenistsowohlbeidenöffentlichenStellenalsauchbeidennicht-öf- fentlichen Stellen von den Zulässigkeitsregelungen für die Datenverarbeitung umfasst. Die Datenerhebung darf nur in dem erforderlichen Umfang erfolgen. Bei den öffentli- chen Stellen heißt dies, dass die Daten für die Erfüllung der gesetzlichen Aufgaben er- forderlich sind. Im nicht-öffentlichen Bereich wird der größte Teil der personenbezoge- nen Daten zur Erfüllung eigener Geschäftszwecke verwendet. Dies ist z.B. der Fall bei den Kundendaten einer Firma, den Daten über das eigene Personal, über die Lieferan- ten und andere Geschäftspartner. ■■ Bei einem rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnis (ty- pischerweise Vertrag) mit dem Betroffenen ist Maßstab für die Datenerhebung der jeweils vereinbarte Zweck.
  28. 28. 28 BfDI – Info 1 Beispiel: Ein Vertrag zwischen Bank und Bankkunden, Arzt und Patienten, Versicherung und Versi- cherten; entsprechend eingeschränkt auch schon vor Vertragsabschluss und nach dessen Ende ■■ Die Datenerhebung kann auch erforderlich sein zur Wahrung berechtigter Interes- sen der verantwortlichen Stelle. Hier darf kein Grund zu der Annahme bestehen, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Verarbeitung oder NutzungdasInteressederverantwortlichenStelleanderDatenerhebungüberwiegen. ■■ Auch wenn Daten allgemein zugänglich sind oder veröffentlicht werden dürften, können sie für eigene Geschäftszwecke erhoben werden, es sei denn, schutzwürdige Interessen des Betroffenen würden gegenüber den berechtigten Interessen der ver- antwortlichen Stelle offensichtlich überwiegen. Besondere Probleme wirft in diesem Zusammenhang der Umgang mit Informationen im Internet auf, die lediglich in ei- nemregionalenodersachlichenKontextöffentlichzugänglichsind(zumBeispieldie systematische Erfassung von Straßenansichten). In diesen Fällen sind Widersprüche der Betroffenen zu beachten. ■■ Besondere Arten personenbezogener Daten (Angaben über die ras­sische und ethni- sche Herkunft, politische Meinungen, religiöse oder philosophische Überzeugun- gen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) dürfen – ohne wirksame Einwilligung des Betroffenen – nur in vom Gesetz abschließend aufgeführ- ten Ausnahmefällen erhoben werden. Zum Beispiel gilt dies ■■ zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten, ■■ bei Daten, die der Betroffene offenkundig öffentlich gemacht hat, ■■ für wissenschaftliche Forschungszwecke nach Güterabwägung und in weiteren im Einzelnen aufgeführten Ausnahmetatbeständen (vgl. §§ 13 Absatz 2 Nr. 1–9, 28 Absatz 6 Nr. 1–4, sowie Absatz 7–9, 29 Absatz 5). SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  29. 29. 29 ■■ Bei der Datenverarbeitung der öffentlichen Stellen wird häufig die Ausnahme grei- fen, die das Erheben besonderer Arten personenbezogener Daten erlaubt, soweit eine Rechtsvorschrift dies vorsieht oder aus Gründen eines wichtigen öffentlichen Interesses zwingend erfordert. ■■ Die Daten sind grundsätzlich beim Betroffenen zu erheben. Es ist ihm mitzuteilen, zu welchemZweckdiesgeschieht.NurinAusnahmefällendürfendieDatenbeianderen und ohne Kenntnis des Betroffenen erhoben werden. Ist der Betroffene gegenüber einer öffentlichen Stelle zur Auskunft verpflichtet (z.B. bei amtlichen Statistiken), so muss ihm gesagt werden, nach welchen Rechtsvorschriften das der Fall ist. Er ist auch aufzuklären, wenn er ohne die von ihm verlangten Auskünfte seine Ansprüche nicht durchsetzen kann oder ihm sonstige Rechtsvorteile entgehen. ■■ Andernfalls muss dem Betroffenen gesagt werden, dass die Auskunft freiwillig ist. Ausnahmen: OhneMitwirkungdesBetroffenen(z.B.durchAnfragenbeiBehördenoderanderenStel- len) dürfen Daten nur erhoben werden, wenn ■■ eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt (z.B. Einholung eines Strafregisterauszugs nach dem Bundeszentralregistergesetz), ■■ diezuerfüllendeVerwaltungsaufgabeihrerArtnacheineErhebungbeianderenPer- sonen oder Stellen erforderlich macht und keine Beeinträchtigung überwiegender schutzwürdiger Interessen des Betroffenen zu erwarten ist oder ■■ die Erhebung beim Betroffenen einen unverhältnismäßig hohen Aufwand zur Folge hätte (z.B., weil er sehr schwer zu finden ist) und auch hier keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des Betroffenen beeinträchtigt werden. Ob die befragte Stelle die erbetenen Daten übermitteln darf, muss diese aber besonders prüfen.
  30. 30. 30 BfDI – Info 1 Wenn die personenbezogenen Daten beim Betroffenen erhoben werden, so muss er, wenn er nicht bereits auf andere Weise Kenntnis hat, informiert werden. Er hat An- spruch darauf zu erfahren, ■■ welche die verantwortliche Stelle ist, die die Daten erhoben hat, ■■ welche die Zweckbestimmung für die erhobenen Daten ist ■■ und gegebenenfalls auch, welche die Kategorien von Empfängern der Daten sind, sofern er nach den Umständen des Einzelfalls nicht mit einer Übermittlung an diese rechnen muss. Nur so ist gewährleistet, dass der Betroffene seine Datenschutzrechte wahrnehmen kann. 2.7 Die Übermittlung von Daten Gesetzesbestimmungen: §§ 4b, 4c, 15, 16, 28 -30a, 39 BDSG Für öffentliche Stellen unterscheidet das Gesetz zwischen der Übermittlung an eine an- dere öffentliche Stelle oder eine nicht-öffentliche Stelle. Besondere Regelungen sowohl für die öffentlichen als auch für die nicht-öffentlichen Stellen gelten für die Datenüber- mittlungen an eine Stelle im Ausland. Das Übermitteln an eine öffentliche Stelle ist zulässig, wenn ■■ es für die Aufgabenerfüllung der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt werden, erforderlich ist und ■■ der Verwendungszweck beim Dritten, an den die Daten übermittelt werden, gleich ist oder eine zulässige Zweckänderung vorliegt. Werden Daten zur Erfüllung der eigenen Aufgaben an eine nicht-öffentliche Stelle übermittelt, so gelten dieselben Regelungen wie bei einer Übermittlung an eine öffent- liche Stelle (siehe vorstehend). SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  31. 31. 31 Die Übermittlung an eine nicht-öffentliche Stelle ist außerdem zulässig, wenn der Drit- te, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft dargelegt hat und der Betroffene keine schutzwürdigen Interessen am Ausschluss der Übermittlung hat. Der Betroffene muss in diesen Fällen informiert wer- den. Dies gilt nicht, wenn er von der Übermittlung schon auf anderem Wege weiß oder die öffentliche Sicherheit einer Unterrichtung im Wege steht. Beispiel: Eine Behörde verfügt über Informationen, die die Beschädigung eines Grundstücks durch ei- nen Dritten betrifft. Der geschädigte Eigentümer möchte nun von der Behörde Namen und Anschrift des Dritten wissen, um einen Schadensersatzanspruch geltend zu machen. Hier ist ein berechtigtes Interesse des Geschädigten zu bejahen. Besondere Vorschriften gelten wiederum für die Übermittlung besonderer Arten perso- nenbezogener Daten (vgl. § 3 Absatz 9). Wie bereits dargelegt, gilt der Zweckbindungsgrundsatz auch bei der Übermittlung im nicht-öffentlichen Bereich. Weitere Besonderheiten im nicht-öffentlichen Bereich wer- den im Kapitel 3 erläutert. Wann ist die Übermittlung ins Ausland zulässig? Gesetzesbestimmungen: §§ 4b, 4c BDSG Für die Datenübermittlung ins Ausland gelten besondere Regelungen für die öffentli- chen wie die nicht-öffentlichen Stellen. Der Datenverkehr zwischen den Mitgliedstaaten der Europäischen Union – also inner- halb des Europäischen Binnenmarktes – und mit den anderen Vertragsstaaten des Ab- kommens über den Europäischen Wirtschaftsraum im Anwendungsbereich des Uni- onsrechts ist genauso zu behandeln wie der inländische (vgl. § 4b Absatz 1).
  32. 32. 32 BfDI – Info 1 Die Datenübermittlung in ein Land außerhalb der Europäischen Union, sog. „Dritt- land“, ist zulässig, wenn der Betroffene kein schutzwürdiges Interesse am Ausschluss der Übermittlung hat, insbesondere in dem Drittland ein angemessenes Datenschutz- niveau gewährleistet ist. Wie ist das angemessene Datenschutzniveau festzustellen? ObineinemLandeinangemessenesDatenschutzniveaubesteht,kannfestgestelltwerden ■■ durch die verantwortliche Stelle selbst, die Daten übermitteln will, nach den Kriteri- en „Art der Daten, Zweckbestimmung, Dauer der geplanten Verarbeitung, Herkunft und Bestimmungsland, für den Empfänger geltende Rechtsnormen, Standesregeln und Sicherheitsmaßnahmen“ (vgl. § 4b Absatz 3), ■■ durch die Europäische Kommission nach Art. 25 Absatz 6 der Richtlinie 95/46/EG (so bisher u. a. geschehen für Andorra, Argentinien, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, die Schweiz, Uruguay und Färöer). ■■ Ein Sonderweg war für den Datenverkehr mit den USA geschaffen worden. Es handelte sich um die sogenannten „Safe Harbor Principles“ („sicherer Hafen“). Am 6. Oktober 2015 hat der Europäische Gerichtshof die Safe-Harbor-Entscheidung der Europäischen Kommission 2000/520/EG in seinem Urteil (C 362/14) für ungültig erklärt. Darüber hinaus kommt eine Übermittlung an einen Drittstaat auch im Rahmen weitrei- chender Ausnahmeregelungen in Betracht (vgl. § 4c Absatz 1). Bedeutsam ist auch die Genehmigung der Übermittlung durch die zuständige Daten- schutzaufsichtsbehörde (vgl. § 4c Absatz 2). Hierfür können die verantwortlichen Stel- len auch auf Standardvertragsklauseln für die Übermittlung (Standard Contractual Clauses) zurückgreifen oder sich selbst verbindliche Unternehmensregeln (Binding Corporate Rules) genehmigen lassen. SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  33. 33. 33 2.8 Vorherige Kontrolle risikoreicher Datenverarbeitung (sog. ­Vorabkontrolle) Gesetzesbestimmungen: §§ 4d Absatz 5 und 6, 4f und 4g BDSG FürautomatisierteVerarbeitungen,diebesondereRisikenfürdieRechteundFreiheiten derBetroffenenaufweisen,siehtdasBundesdatenschutzgesetzeinePrüfungvorBeginn der Verarbeitung (Vorabkontrolle) vor (vgl. § 4d Absatz 5). Beispielhaft – nicht abschließend – nennt das Gesetz zwei Fallgestaltungen, in denen die Vorabkontrolle notwendig ist: ■■ bei der Verarbeitung von personenbezogenen Daten besonderer Art (§ 3 Absatz 9), ■■ bei Verfahren, die dazu dienen, die Persönlichkeit des Betroffenen zu bewerten ein- schließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Die Vorabkontrolle muss in folgenden Fällen nicht durchgeführt werden: ■■ wenn eine gesetzliche Verpflichtung zur Durchführung der Datenverarbeitung be- steht, ■■ wenn die Einwilligung des Betroffenen vorliegt, ■■ wenn die Erhebung, Verarbeitung oder Nutzung im Rahmen der Zweckbestimmung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses er- folgt. Zuständig für die Durchführung der Vorabkontrolle ist der Datenschutzbeauftragte. Dem Datenschutzbeauftragten sind von der verantwortlichen Stelle für die Datenverar- beitung vor der Durchführung der Vorabkontrolle bestimmte Informationen zur Verfü- gung zu stellen (vgl. § 4g Absatz 2 Satz 1 i.V.m. § 4e Satz 1).
  34. 34. 34 BfDI – Info 1 Vorabkontrolle Ist eine Vorabkontrolle durch das Gesetz vorgeschrieben, ist sie eine weitere Vorausset- zung für die Zulässigkeit der Datenverarbeitung. Wurde eine notwendige Vorabkontrol- le vollständig unterlassen, ist die Datenverarbeitung rechtswidrig. Das inhaltliche Votum des Datenschutzbeauftragten ist für die verantwortliche Stelle aber nicht bindend. Im Rahmen einer Vorabkontrolle prüft der Datenschutzbeauftragte sowohl die recht- liche Zulässigkeit der beabsichtigten Verarbeitung als auch, ob die vorgesehenen tech- nischen und organisatorischen Maßnahmen nach dem Stand der Technik ausreichend und angemessen sind. Er kann hierzu eine Risikoanalyse durchführen und ein Sicher- heitskonzept erstellen. 2.9 Technische und organisatorische Sicherung des Datenschutzes Gesetzesbestimmungen: §§ 3a, 9, 9a, 10, 42a BDSG Je komplexer die Datenverarbeitungssysteme werden, desto wichtiger ist es, frühzeitig Datenschutzrisiken zu erkennen, technische und organisatorische Maßnahmen vor- zusehen, die eine für den Betroffenen einfache und effiziente Möglichkeit zum Selbst- schutz bieten, und Anreize zu schaffen, Datenschutz möglichst frühzeitig in technische Systeme zu integrieren. Schon bei der Konzeption von IT-Systemen müssen Belange des Datenschutzes gewähr- leistet werden („Privacy by Design“). Dabei geht es in erster Linie darum, den Umfang der erhobenen und verarbeiteten personenbezogenen Daten auf ein Minimum zu beschrän- ken. § 3a enthält die folgenden Vorgaben zur Datenvermeidung und Datensparsamkeit: SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  35. 35. 35 „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig perso- nenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sindpersonenbezogeneDatenzuanonymisierenoderzupseudonymisieren,soweitdiesnach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutz- zweck unverhältnismäßigen Aufwand erfordert.“ Zu einer datenschutzgerechten Technikgestaltung gehören auch entsprechende Vor- einstellungen von IT-Systemen und elektronischen Diensten („Privacy by Default“). So sollte ein WLAN-Router nur mit voreingestellter Verschlüsselung ausgeliefert werden. Soziale Netzwerke im Internet sollten so konfiguriert sein, dass die Daten neuer Mitglie- der nicht allgemein zugänglich sind. Ein sehr wichtiger Bereich des Datenschutzes sind die technischen und organisatori- schen Maßnahmen, die zum Schutz von personenbezogenen Daten getroffen werden müssen, um sie vor Missbrauch und Verarbeitungsfehlern zu sichern. Welche Maßnah- men notwendig sind, hängt sowohl von der Art der Daten ab, als auch von der Aufgabe, den organisatorischen Bedingungen, den räumlichen Verhältnissen, der personellen Situation und anderen Rahmenbedingungen der Verarbeitung. Das Gesetz verzichtet deshalb darauf, bestimmte einzelne Maßnahmen zwingend vorzuschreiben, sondern verlangt, „dietechnischenundorganisatorischenMaßnahmenzutreffen,dieerforderlichsind,umdie Ausführungen der Vorschriften dieses Gesetzes ... zu gewährleisten.“ (§ 9) Welche Wirkung diese Maßnahmen im Bereich der automatisierten Verarbeitung ha- ben müssen, legt das Gesetz in einer Anlage zu § 9 katalogmäßig fest (siehe Anhang 2). Die Maßnahmen müssen sich nach dem Stand der Technik richten und sind daher regel- mäßig fortzuschreiben. Ziel dieser Maßnahmen ist das Erreichen bestimmter Schutzziele.
  36. 36. 36 BfDI – Info 1 Schutzziele des technisch-organisatorischen Datenschutzes: ■■ Verfügbarkeit Verfahren und Daten stehen zeitgerecht zur Verfügung und können ordnungsge- mäß angewendet werden. ■■ Vertraulichkeit Auf Verfahren und Daten darf nur befugt zugegriffen werden. ■■ Integrität Daten aus Verfahren bleiben unversehrt, zurechenbar und vollständig. ■■ Transparenz Erhebung, Verarbeitung und Nutzung personenbezogener Daten müssen mit zu- mutbarem Aufwand nachvollzogen, überprüft und bewertet werden können. ■■ Unverkettbarkeit Verfahrensindsoeinzurichten,dassderenDatennichtodernurmitunverhältnismä- ßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, ver- arbeitet und genutzt werden können (technisch-organisatorische Gewährleistung der Zweckbindung). ■■ Intervenierbarkeit Verfahrensindsozugestalten,dasssiedemBetroffenendieAusübungderihmzuste- henden Rechte wirksam ermöglichen. Die technischen und organisatorischen Maßnahmen müssen als ein zusammenwirken- des Schutzsystem verstanden werden. Viele Maßnahmen des Datenschutzes wirken zu- gleich im Sinne einer Sicherung des Betriebsablaufs. Deshalb steht das Datenschutzkon- zept in engem Zusammenhang mit sonstigen Sicherheitskonzepten. SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  37. 37. 37 Besondere Bedeutung erhält die sorgfältige Erarbeitung eines Datenschutzkonzepts im Zusammenhang mit der neu eingeführten Pflicht zur Information bei Daten- schutzpannen gemäß § 42a. Danach müssen nicht-öffentliche Stellen, die personenbe- zogene Daten erheben, verarbeiten oder nutzen, im Falle des Verlusts von als besonders gefährdet eingestuften Daten die Betroffenen sowie die Aufsichtsbehörde hierüber in- formieren. Diese Vorgabe gilt gleichermaßen für Unternehmen, Vereine und Verbände und jedes ihnen gleichgestellte öffentlich-rechtliche Wettbewerbsunternehmen (z. B. städtisches Energieversorgungsunternehmen). Erfolgt diese Information nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, droht nach § 43 Absatz 2 Nr. 7 regelmäßig ein Bußgeld. Für die Einrichtung automatisierter Verfahren zum Abruf personenbezogener Daten durch Dritte sind besondere Anforderungen zu beachten. Sie sind nur zulässig, wenn sie unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen einerseits und der Aufgaben oder Geschäftszwecke der beteiligten Stellen andererseits angemessen sind. Hinzuweisen ist auch darauf, dass bei automatisierten Abrufverfahren eine Pflicht zur stichprobenweisen Protokollierung der Abrufe besteht (§ 10). Immer wichtiger wird es, wettbewerbliche Anreize für Datenschutzmaßnahmen zu set- zen, so dass besserer Datenschutz auch ökonomisch als Wettbewerbsvorteil begriffen werden kann. Mit dem sogenannten „Datenschutzaudit“ könnten sowohl Anbieter von Datenverarbeitungssystemen und -programmen als auch verantwortliche Stellen ihre Datenschutzkonzepte sowie ihre technischen Einrichtungen mit einem datenschutz- rechtlichen Gütesiegel versehen lassen und damit werben. Die Prüfung sollte durch unabhängige und zugelassene Gutachter erfolgen. Bisher gibt es kein bundesweites Da- tenschutzaudit nach § 9a. Die Regelung in § 9a läuft bisher leer, da ein Ausführungsge- setz fehlt, das alle weiteren Anforderungen an das Verfahren regelt. Derzeit wird darü- ber diskutiert, das Datenschutzaudit einer neu einzurichtenden „Stiftung Datenschutz“ zu übertragen.
  38. 38. 38 BfDI – Info 1 2.10 Der behördliche und betriebliche Beauftragte für den Datenschutz Gesetzesbestimmungen: §§ 4f, 4g BDSG Die behördlichen und betrieblichen Beauftragten für den Datenschutz sind wichtige Ansprechpartner in Fragen des Datenschutzes für die Bürgerinnen und Bürger sowie die Beschäftigten in den Behörden und Unternehmen. Alle Bundesbehörden müssen behördliche Beauftragte für den Datenschutz bestellen. Je nach Struktur der Stelle können mehrere Behörden auch einen gemeinsamen Datenschutzbeauftragten benennen. Bei den nicht-öffentlichen Stellen hängt die Verpflichtung zur Bestellung des oder der Beauftragten von der Größe der Stelle und der Zahl der mit der Verarbeitung personenbezogener Daten beschäftigten Arbeitnehmer ab. Die freiwillige Bestellung der oder des Beauftragten ist immer möglich. Bei der geschäftsmäßigen Datenverarbeitung zum Zweck der Übermittlung oder anonymisierten Übermittlung müssen immer Datenschutzbeauftragte bestellt werden. Beispiel: So müssen z. B. Auskunfteien oder Unternehmen des Adresshandels unabhängig von der Zahl der Beschäftigteneine/nbetrieblichenDatenschutzbeauftragte/nbestellen.DasGleichegiltauchfürein Unternehmen,dasgeschäftsmäßigpersonenbezogeneDatenzumAbrufausdemInternetbereithält. Dies gilt auch stets, wenn wegen besonders risikoreicher Datenverarbeitung eine Vorabkontrolle durchgeführt werden muss (siehe Kapitel 2.8). (Weitere Informationen hierzufindenSieinunsererBroschüre„Info4–DieDatenschutzbeauftragteninBehörde und Betrieb“). Die oder der Beauftragte für den Datenschutz gehört zwar zur jeweiligen Behörde oder zum Betrieb, hat jedoch nach dem Gesetz eine herausgehobene Stellung: Sie oder er ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen und in der Ausübung ihrer oder seiner Fachkunde weisungsfrei. Damit kann ihr oder ihm niemand, auch nicht die Leiterin oder der Leiter der Stelle, vorschreiben, wie sie oder er datenschutzrechtliche Fragen bewertet. SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  39. 39. 39 Die Position der Datenschutzbeauftragten ist zuletzt durch die Einführung eines besonderen Kündigungsschutzes noch einmal gestärkt worden. Sie können – wenn sie selbst Beschäftigte der verantwortlichen Stelle sind – während der Bestellung bzw. bis ein Jahr nach Beendigung der Bestellung nur aus wichtigem Grund gekündigt werden, etwa bei einem Einstellungsbetrug oder beharrlicher Arbeitsverweigerung. Der Kündigungsschutz gilt jedoch nicht für freiwillig bestellte Datenschutzbeauftragte. Die Leiterin oder der Leiter der Stelle ist nicht an das Votum der oder des internen Datenschutzbeauftragten gebunden. Damit bleibt die Letztverantwortung für die Datenverarbeitung bei der Unternehmensleitung. Um der hohen Bedeutung der Datenschutzbeauftragten für einen wirkungsvollen Datenschutz Rechnung zu tragen, darf für diese Aufgabe nur bestellt werden, wer die erforderliche „Fachkunde und Zuverlässigkeit“ besitzt. Die bzw. der Datenschutzbeauftragte muss also sowohl die technische als auch die rechtliche Seite der Aufgaben kennen und gute Kenntnisse in allen Bereichen haben, die für die jeweilige OrganisationvonBedeutungsind.DieverantwortlicheStelleistverpflichtet,derbzw.dem Datenschutzbeauftragten zum Erhalt der Fachkunde die Teilnahme an Schulungs- und Fortbildungsveranstaltungen zu ermöglichen und hierfür die Kosten zu übernehmen. DiebehördlichenundbetrieblichenDatenschutzbeauftragtensindgesetzlichzurVerschwie- genheitverpflichtet.ÜberdieIdentitätdesBetroffenen(Beschwerdeführers)oderUmstände, die Rückschlüsse hierüber erlauben, dürfen sie keine Auskünfte geben. Eine Ausnahme gilt nur,wenndiebetroffenePersonsievonseinerVerschwiegenheitsverpflichtungbefreit. Die Aufgaben der behördlichen und betrieblichen Datenschutzbeauftragten sind viel- fältig. Sie müssen ■■ auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hinwirken, ■■ die ordnungsgemäße Programmanwendung überwachen, ■■ die bei der Verarbeitung personenbezogener Daten eingesetzten Mitarbeiterinnen und Mitarbeiter mit den Anforderungen des Datenschutzes vertraut machen,
  40. 40. 40 BfDI – Info 1 ■■ zum Schutz des informationellen Selbstbestimmungsrechtes die für besonders risi- koreiche Datenverarbeitungen erforderliche Vorabkontrolle durchführen, ■■ die öffentlich zugänglichen Angaben des Verfahrensverzeichnisses (vgl. § 4e Satz 1, Nr. 1–8) in geeigneter Weise auf Antrag jedermann verfügbar machen. Einer beson- deren Berechtigung oder Begründung bedarf es für denjenigen, der von diesem Recht Gebrauch machen möchte, nicht. 2.11 Datenverarbeitung im Auftrag Gesetzesbestimmung: § 11 BDSG Privatwirtschaft wie auch öffentliche Verwaltung führen Teile ihrer Aufgaben nicht mehr selbst aus, sondern betrauen damit Dritte. Entschließt sich eine Stelle zum Out- sourcing solcher Tätigkeiten, die auch die Erhebung, Verarbeitung und Nutzung per- sonenbezogener Daten beinhalten, muss sie dabei verschiedene rechtliche, technische und organisatorische Voraussetzungen erfüllen. § 11 regelt die sogenannte Auftragsda- tenverarbeitung. Beispiele für die Datenverarbeitung im Auftrag: ■■ Betrieb eines Rechenzentrums im Auftrag ■■ Entsorgung von Datenträgern ■■ technischer Betrieb einer virtuellen Poststelle Werden dem Auftragnehmer personenbezogene Daten zu diesem Zweck überlassen, findet datenschutzrechtlich gesehen keine Übermittlung statt, da der Auftragnehmer nichtDritterist.GegenüberdenBürgerinnenundBürgernbleibtderAuftraggeber(also dieStelle,umderenAufgabeesgeht)volldafürverantwortlich,dassmitihrenpersonen- bezogenen Daten rechtmäßig umgegangen wird. SICHERUNG DES PERSÖNLICHKEITSRECHTS DURCH DAS BUNDESDATENSCHUTZGESETZ
  41. 41. 41 Dies setzt voraus, dass ■■ derAuftraggebereinenschriftlichenAuftragerteilenmuss(wasgenauschriftlichge- regelt werden muss, legt § 11 Absatz 2 detailliert fest), ■■ der Auftragnehmer nur im Rahmen der Weisungen seines Auftraggebers tätig wer- den darf und ■■ der Auftraggeber die erforderlichen Maßnahmen zur Datensicherheit vorgeben muss. Der Auftraggeber muss sich vor Beginn der Datenverarbeitung und sodann regelmäßig über die Einhaltung der beim Auftragnehmer getroffenen technischen und organisato- rischen Maßnahmen überzeugen und das Ergebnis dieser Überprüfung dokumentieren. Im Regelfall wird sich der Auftraggeber vor Ort davon vergewissern, dass seine Vorga- ben, insbesondere im Hinblick auf die technisch-organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes, eingehalten werden. Es ist jedoch möglich, diese Aufgabe gegebenenfalls an vertrauenswürdige Dritte (etwa durch unabhängige Sach- verständige oder Wirtschaftsprüfungsgesellschaften, die kein eigenes Interesse an der Bewertung haben) zu delegieren, welche die Einhaltung der Vorgaben bescheinigen. Letzteres kommt insbesondere dann in Betracht, wenn die Auftragsdatenverarbeitung im Ausland durchgeführt wird. WerdenAufträgeanAuftragnehmererteilt,dieihrenSitzimEuropäischenWirtschafts- raumhabenunddieDatenverarbeitungdortausführen,geltendieselbenVorgabenwie für inländische Auftragnehmer. Bei der Auftragsvergabe an Auftragnehmer in sonsti- gen Drittstaaten sind besondere Bedingungen zu beachten.
  42. 42. 42 BfDI – Info 1 3 BesonderheitenbeiderDatenverarbeitungdurch nicht-öffentlicheStellen,Privatwirtschaft,Vereine etc. 3.1 Rechtsgrundlagen der Datenverarbeitung Gesetzesbestimmungen: §§ 28, 29, 30a BDSG Das Gesetz unterscheidet zwischen der Datenerhebung und -verarbeitung für eigene Geschäftszwecke in § 28 und der geschäftsmäßigen Erhebung und Verarbeitung zum Zwecke der Übermittlung in § 29. Typischerweise handelt es sich im ersteren Fall um ein Unternehmen, das bei seinen eigenen Kunden im Rahmen der Vertragsbeziehung Daten erhebt und diese zur Erfül- lung der Vertragszwecke nutzt. Dies ist ohne ausdrückliche Einwilligung der Betroffe- nen zulässig. Beispiel: Ein Möbelhändler erhebt bei einem Kunden im Rahmen eines Verkaufs Name und Anschrift, um die Ware liefern zu können. Der Kunde zahlt mit der ec-Karte, der Händler nutzt die so gewonnenen Kontoinformationen ausschließlich zum Zwecke des Bankeinzugs. Die Tätigkeit von Adresshändlern und Auskunfteien ist hingegen ein Fall der geschäfts- mäßigen Datenerhebung und -verarbeitung zum Zwecke der Übermittlung. Geschäftsmäßige Datenverarbeitung liegt vor, wenn im Rahmen einer auf Dauer ange- legtenTätigkeitdieDatenverarbeitungalssolchedenGeschäftszweckbildet.DasGesetz selbst nennt als Beispiele die geschäftsmäßige Datenverarbeitung zum Zweck der Über-
  43. 43. 43 mittlung,wenndiesderWerbung,derTätigkeitvonAuskunfteienoderdemAdresshan- del dient (s. dazu die nachfolgenden Kapitel). Auch die Markt- und Meinungsforschung gehört grundsätzlich in diesen Bereich. Die Datenverarbeitung wurde jedoch vom Gesetzgeber in einer eigenen Vorschrift gere- gelt, vgl. § 30a. Eine Einwilligung der Betroffenen in die Datenverarbeitung ist danach nicht erforderlich. Um die Interessen der Betroffenen zu wahren, müssen die Daten an- onymisiert werden, sobald dies nach dem Zweck des Forschungsvorhabens möglich ist. Bis zur Anonymisierung sind die Merkmale, die eine Herstellung des Personenbezugs ermöglichen, zudem gesondert zu speichern. Darüber hinaus dürfen die Daten nur zweckgebunden für das Forschungsvorhaben verwendet werden. Die Nutzung von personenbezogenen Daten zu Zwecken der postalischen Werbung und des Adresshandels ist abschließend in § 28 Absatz 3 geregelt. 3.2 Werbung und Adresshandel Gesetzesbestimmung: § 28 BDSG Seit dem 1. September 2009 dürfen personenbezogene Daten grundsätzlich nur mit Ein- willigung des Betroffenen zu Zwecken der Werbung und des Adresshandels weiterge- geben werden. Von diesem Grundsatz gibt es – bezogen auf postalische Direktwerbung – jedoch zahlreiche Ausnahmen.
  44. 44. 44 BfDI – Info 1 OhneEinwilligungdürfenpersonenbezogeneDatenzuZweckenderWerbungoderdes Adresshandels verarbeitet oder genutzt werden, ■■ wenn der Betroffene anhand der Werbung erkennen kann, welches Unternehmen seine Adressdaten hierfür weitergegeben hat. Dazu müssen Herkunft und Weitergabe der Adressdaten dokumentiert werden. Bereits aus der Werbung selbst muss für den Betroffenen erkennbar sein, wer seine ­Daten erstmalig weitergegeben hat. Diese Stelle muss dem Betroffenen dann auf Nachfragemitteilenkönnen,anwensieseineDatenzuWerbezweckenindenletzten zwei Jahren weitergegeben hat. ■■ wenn Unternehmen ihre eigenen Kunden bewerben. Nutzen dürfen sie hierfür so- genannte Listdaten, die sie beim Betroffenen selbst erhoben oder aus allgemein zu- gänglichen Quellen (etwa Telefonbüchern) entnommen haben. Jedoch dürfen nicht unterschiedslos alle Kundendaten für Werbezwecke herangezogen werden, son- dern nur ein bestimmter Katalog listenmäßig oder sonst zusammengefasster Daten. Derartig zusammengefasst werden dürfen nur Angaben zu Name, Titel, akademi- schem Grad, Anschrift und Geburtsjahr, Berufs-, Branchen- oder Geschäftsbezeich- nung sowie eine Angabe, die die Zugehörigkeit des Betroffenen zu einer bestimmten Personengruppe charakterisiert (z.B. Versandhauskunde). Das Gesetz sah für die von den Änderungen betroffenen Unternehmen eine Übergangs- frist von drei Jahren vor, die am 31. August 2012 abgelaufen ist. Werbewiderspruch Sie haben das Recht, der Zusendung persönlich an Sie adressierter Werbung zu wider- sprechen. Auf dieses Recht müssen Sie hingewiesen werden, wenn Sie Werbung zuge- sandt bekommen. Es sollte also bereits auf dem Werbeschreiben vermerkt sein, wo und wie Sie den Widerspruch einlegen können. BESONDERHEITEN BEI DER DATENVERARBEITUNG DURCH NICHT-ÖFFENTLICHE STELLEN, PRIVATWIRT- SCHAFT, VEREINE ETC.
  45. 45. 45 Dieses Nutzungsverbot in Form eines Widerspruchs können Sie auch schon bei der erst- maligen Bekanntgabe Ihrer persönlichen Daten gegenüber dem Geschäfts- oder Ver- tragspartner aussprechen, z.B. durch einen entsprechenden Vermerk auf dem Antrags- bzw. Vertragsformular. Der Widerspruch ist aber auch zu einem späteren Zeitpunkt möglich. Er kann auch bei den Stellen eingelegt werden, denen die Daten übermittelt worden sind. Für den Widerspruch, der keiner weiteren Begründung bedarf, reicht fol- gende Formulierung: „Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Zwecke der Wer- bungoderderMarkt-oderMeinungsforschung(§28Abs.4Bundesdatenschutzgesetz).“ Robinsonliste Personen, die keine Werbung per Briefpost wünschen, können sich in die so genannte Robinsonliste aufnehmen lassen. Hierzu kann ein Aufnahmeformular unter folgender Anschrift angefordert werden: Deutscher Dialogmarketing Verband e.V. (DDV) – Robinson-Liste – Postfach 14 54 33244 Gütersloh Telefon: 05244 903723 Die Formulare werden auch im Internet als PDF-Datei zum Herunterladen angeboten: z.B. http://www.ichhabediewahl.de Weitere Hinweise, wie Sie die Werbeflut möglichst weitgehend auch von Telefon, Faxgerät und PC fernhalten können, erhalten Sie auf unserer Internetseite http://www.datenschutz.bund.de unter dem Suchwort „Robinson“. Der Vollständigkeit halber sei darauf hingewiesen, dass die Nutzung dieser Liste durch dieWerbewirtschaftfreiwilligist.EinEintragdortgarantiertnicht,dassmanüberhaupt keine Werbung mehr erhält.
  46. 46. 46 BfDI – Info 1 Ferner gibt die Deutsche Telekom AG die Daten, die auf Wunsch des Kunden in das Tele- fonverzeichnis und ggf. in ein elektronisches Verzeichnis (z.B. CD-ROM) aufgenommen werden sollen, an die DeTeMedien GmbH Wiesenhüttenstr. 18 60329 Frankfurt Telefonnummer: (069) 26 82-0 Faxnummer: (069) 26 82-11 01 weiter. Auch zu einem späteren Zeitpunkt kann der Kunde gegenüber der Telekom ei- ner Eintragung widersprechen; bei der Neuauflage des Telefonverzeichnisses darf dann seine Anschrift nicht mehr ausgedruckt sein. 3.3 Die Tätigkeit von Auskunfteien Gesetzesbestimmungen: §§ 28a, 29 BDSG Ein Unternehmen darf unter den Voraussetzungen von § 29 geschäftsmäßig personen- bezogene Daten erheben und verarbeiten, um diese Daten Dritten zu übermitteln. Dies geschieht insbesondere bei Auskunfteien, die anderen Unternehmen Angaben zur Kre- ditwürdigkeit von Privatpersonen verkaufen. Auskunfteien erheben und speichern Angaben zu vertragsgemäßem wie nicht-ver- tragsgemäßem Verhalten. § 28a legt fest, welche personenbezogenen Daten zu nicht-vertragsgemäßem Verhal- ten in Bezug auf eine Forderung an Auskunfteien übermittelt werden und also auch von Auskunfteien erhoben und verarbeitet werden dürfen. BESONDERHEITEN BEI DER DATENVERARBEITUNG DURCH NICHT-ÖFFENTLICHE STELLEN, PRIVATWIRT- SCHAFT, VEREINE ETC.
  47. 47. 47 Folgende personenbezogene Daten dürfen an eine ­Auskunftei übermittelt werden: ■■ Forderungen, die durch rechtskräftige Urteile festgestellt worden sind ■■ Forderungen im Rahmen von Insolvenzverfahren ■■ ausdrücklich anerkannte Forderungen ■■ jede Art der Forderung, wenn sie mindestens zweimal schriftlich gemahnt worden sind, auf die Einmeldung hingewiesen wurden und Sie die Forderung nicht bestrit- ten haben. ■■ jede Art von Forderung, die Ihren Vertragspartner zur fristlosen Kündigung berech- tigt, wenn Sie vorher über die Einmeldung bei einer Auskunftei informiert worden sind Zusätzlich dürfen Auskunfteien von Banken und anderen Kreditinstituten weitere In- formationen erhalten, nämlich Angaben über Girokontenverträge, laufende Kredite, beantragte Hypotheken oder andere Bankgeschäfte. Nur wenn ein Girokonto auf Gut- habenbasisgeführtwird,darfwederdieseInformation,nochüberhaupteineAngabezu diesem Girokontoverhältnis (Ablauf, Dauer, Beendigung) an eine Auskunftei übermit- telt werden. SiehabendasRecht,vonAuskunfteienAuskunftzudenüberSiegespeichertenDatenzu erhalten (s. Kapitel 4.1.). 3.4 Scoring Gesetzesbestimmungen: §§ 28b, 34 BDSG Viele Auskunfteien ermitteln für ihre Vertragspartner einen sogenannten Scorewert (score = Punktzahl) über Privatpersonen. Hierbei handelt es sich um einen Wert, der auf der Grundlage eines mathematisch-statistischen Verfahrens aus den bei der Auskunftei
  48. 48. 48 BfDI – Info 1 vorhandenen Angaben errechnet wird und eine Aussage über die Wahrscheinlichkeit des künftigen Zahlungsverhaltens der Betroffenen und damit über ihre Kreditwürdig- keit enthalten soll. Dem Empfänger dieser Information bleibt es überlassen festzulegen, wie diese Risikoprognose in Bezug auf sein ­Geschäftsinteresse zu bewerten ist. Der Gesetzgeber hat den Einsatz von Scorewerten nicht verboten. ­Werden diese jedoch eingesetzt, um zu entscheiden, ob und zu welchen Bedingungen ein Vertrag mit Ihnen abgeschlossen werden soll, dann müssen bestimmte Vorgaben beachtet werden. ■■ Die Seriosität von Scorewerten muss wissenschaftlich nachgewiesen worden sein. ■■ Wenn eine Auskunftei den Scorewert berechnet, darf sie nicht automatisch ihren ganzen Datenbestand zugrunde legen. ■■ Ein Scorewert darf nicht überwiegend auf der Grundlage von ­Anschriftendaten er- mittelt werden. ■■ Wenn Anschriftendaten verwendet werden, muss der Betroffene hierüber vorher unterrichtet worden sein. Wenn Anschriftendaten für einen Scorewert herangezogen werden, spricht man von Geoscoring.Diesbedeutet,dassetwadieBonitätdavonabhängiggemachtwird,inwelcher Wohngegend jemand lebt. Verboten ist es, einen Score im Wesentlichen auf die Wohnge- gendzustützen,alsozurBerechnungdesScorewerteskeineweiterenodernursolcheAnga- benhinzuzuziehen,diekeinenwesentlichenEinflussaufdieEntscheidunghaben. Jede Stelle, die Scorewerte einsetzt oder errechnet und an Dritte weitergibt, muss Ihnen erläutern, welche Scorewerte zu Ihrer Person gespeichert sind, an wen welcher Score- wert übermittelt worden ist und wie dieser Scorewert zustande gekommen ist. Der Scorewert muss Ihnen verständlich, einzelfallbezogen und nachvollziehbar erklärt werden, damit Sie Ihre Rechte sachgerecht ausüben, mögliche Fehler in der Berech- nungsgrundlage aufdecken und Abweichungen von den automatisiert gewonnenen typischen Bewertungen des zugrunde liegenden Lebenssachverhalts darlegen können. Zur Verwendung von Scorewerten im Rahmen automatisierter Einzelentscheidungen vergleiche Kapitel 4.5. BESONDERHEITEN BEI DER DATENVERARBEITUNG DURCH NICHT-ÖFFENTLICHE STELLEN, PRIVATWIRT- SCHAFT, VEREINE ETC.
  49. 49. 49 4 RechtederBürgerinnenundBürger Welche Rechte die Bürgerinnen und Bürger im Zusammenhang mit der Erhebung, Verarbeitung und Nutzung ihrer Daten haben, regelt das Bundesdatenschutzgesetz an zwei Stellen unter der Überschrift „Rechte des ­Betroffenen“ – zum einen als Rechte gegenüber öffentlichen Stellen in den ­§§ 19ff., zum anderen gegenüber nicht-öffent- lichen Stellen in den §§ 33 ff (zur Definition des Begriffes „Betroffener“ siehe § 3 Absatz 1, bzw. in Kapitel 6). Aber auch an anderer Stelle trifft das Bundesdatenschutzgesetz Rege- lungen für bestimmte Bereiche, z.B. für die Videoüberwachung, bei denen sich aus den Pflichten für die verantwortlichen Stellen spiegelbildlich die Rechte der Bürgerinnen und Bürger ergeben. 4.1 Das Recht auf Auskunft Gesetzesbestimmungen: §§ 19, 19a, 33, 34 BDSG Jeder – unabhängig von Alter, Wohnsitz und Nationalität – hat das Recht auf Auskunft über die zu seiner Person gespeicherten Daten. Welche Auskunft können Sie verlangen? ■■ Über die zu Ihrer Person gespeicherten Daten, einschließlich der ­Angabe, woher sie stammen und an wen sie weitergegeben werden. Das Bundesdatenschutzgesetz spricht hier von Empfängern oder Kategorien von Empfängern. Der Begriff des Empfängers umfasst nicht nur Dritte außerhalb der verantwortlichen Stelle, sondern auch natürliche Personen oder Stellen, die im Gel- tungsbereich des Bundesdatenschutzgesetzes für einen anderen im Auftrag Daten
  50. 50. 50 BfDI – Info 1 verarbeiten sowie auch verschiedene Organisationseinheiten innerhalb einer Stelle. Auch die Information über die Kategorien der Empfänger kann für den Einzelnen von erheblicher Bedeutung sein, z.B. macht es einen Unterschied, ob es sich bei den Empfängern um natürliche Personen handelt oder um bestimmte Branchen oder Unternehmen wie z.B. Auskunfteien oder andere geschäftsmäßige Datenverarbeiter etc. ■■ ÜberdenZweckderSpeicherung(d.h.diebetreffendeVerwaltungsaufgabeoderden speziellen Geschäftszweck). Wie erhalten Sie Auskunft? ■■ Es empfiehlt sich, die Auskunft schriftlich anzufordern. Zur Legitimation genügt es in der Regel, die Kopie eines Personaldokuments beizulegen. Einschreiben ist nicht erforderlich. ■■ Bei persönlicher Vorsprache wird eine sofortige Erledigung oft nicht möglich sein. ■■ Wenn Sie anrufen, kann man Sie meist nicht sicher identifizieren. Deshalb gilt der Grundsatz: keine telefonische Datenauskunft. ■■ Schreiben Sie möglichst genau, worüber Sie Auskunft wünschen (also z.B. „meine Da- ten im Zusammenhang mit Wohngeld“ oder „im Zusammenhang mit unserem Miet- vertrag“, aber nicht „alles, was die Stadtverwaltung über mich hat“). Wenden Sie sich an die verantwortliche Stelle (Kapitel 6). Außerdem können Ihnen die Datenschutzkontrollinstitutionen weiterhelfen (Anhänge 5 und 6). Was kostet eine Auskunft? Grundsätzlich brauchen Sie für die Auskunft nichts zu bezahlen. Von Auskunfteien und anderen Stellen, die Ihre Daten geschäftsmäßig zum Zwecke der Übermittlung speichern (Kapitel 3.3 und 3.4), haben Sie das Recht, einmal im Kalender- jahr kostenlos Auskunft zu erhalten. Für jede weitere Auskunft kann jedoch ein Entgelt verlangt werden, wenn die Auskunft gegenüber Dritten wirtschaftlich genutzt werden BESONDERHEITEN BEI DER DATENVERARBEITUNG DURCH NICHT-ÖFFENTLICHE STELLEN, PRIVATWIRT- SCHAFT, VEREINE ETC.
  51. 51. 51 kann (etwa um Ihre Bonität nachzuweisen). Das geforderte Entgelt darf nicht höher sein als die entstandenen direkt zurechenbaren Kosten. Aber auch bei derartigen Auskünften brauchen Sie dafür nichts zu bezahlen, wenn besondere Umstände dafür sprechen, dass Daten unrichtig oder unzulässig gespeichert sind oder sich dies aus der Auskunft ergibt. Bei einer mündlichen Auskunft oder einer Auskunft auf einem Blatt ohne Namensanga- be entstehen Ihnen keine Kosten. Auf die Möglichkeit, durch persönliche Kenntnisnah- medieAuskunftunentgeltlichzuerhalten,mussdiespeicherndeStelleSieausdrücklich hinweisen. Gegebenenfalls können Auskünfte auch elektronisch, etwa per E-Mail, erteilt werden. Dabei ist allerdings zu beachten, dass mit der elektronischen Übermittlung gegebenen- falls zusätzliche Risiken verbunden sind. Deshalb achten Sie darauf, dass eine verschlüs- selte Datenübermittlung gewährleistet ist. Was ist an Besonderheiten zu beachten? Bei öffentlichen Stellen ■■ Über personenbezogene Daten in Akten erhalten Sie nur Auskunft, wenn – Sie Angaben machen, die das Auffinden der Daten ermöglichen, und – der Arbeitsaufwand nicht außer Verhältnis zu Ihrem Informationsinteresse steht. Legen Sie deshalb dar, warum Ihnen die Auskunft wichtig ist. ■■ Eine Auskunft darüber, ob Daten an einen Nachrichtendienst (Bundesamt für Verfas- sungsschutz, Militärischer Abschirmdienst und Bundesnachrichtendienst) übermit- telt wurden, ist nur mit dessen Zustimmung zugelassen. Bei nicht-öffentlichen Stellen, insbesondere Auskunfteien Von Kreditauskunfteien und anderen Stellen, die geschäftsmäßig Daten zum Zweck der Übermittlung speichern, können Sie Auskunft auch über Daten verlangen, die weder in einer automatisierten Verarbeitung noch in einer nicht-automatisierten Datei gespei- chert sind (z.B. ungeordnete Akten oder Hefter).
  52. 52. 52 BfDI – Info 1 Diese Stellen müssen Ihnen auch sagen, woher sie Ihre Daten haben und an wen sie die Daten weitergeben, es sei denn, die Stelle könnte geltend machen, dass ihr Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber Ihrem Auskunftsinteresse über- wiegt. Von allen Stellen, die Scorewerte einsetzen oder errechnen, haben Sie das Recht zu er- fahren, welche Scorewerte zu Ihrer Person gespeichert sind, an Dritte übermittelt wor- densindundwiedieseScorewertezustandegekommensind.DerScorewertmussIhnen verständlich, einzelfallbezogen und nachvollziehbar erklärt werden. Näheres hierzu können Sie im Kapitel 3.4 „Scoring“ nachlesen. Wenn Sie Ihren Auskunftsanspruch gel- tend machen, darf sich dies nicht negativ auf Ihren Scorewert auswirken. In welchen Fällen hat man keinen Anspruch auf Auskunft? Öffentliche Stellen dürfen die Auskunft verweigern, soweit ■■ die Gefahr besteht, dass sie ihre Aufgabe nicht ordnungsgemäß erfüllen können, z.B. wenn laufende polizeiliche Ermittlungen gefährdet würden, ■■ die Auskunft die öffentliche Sicherheit oder Ordnung gefährden würde oder ■■ die Daten oder die Tatsache, dass die Stelle sie speichert, geheim gehalten werden müssen (aus gesetzlichen Gründen oder im Geheimhaltungsinteresse eines Dritten, z.B. Adoptionsgeheimnis), und deswegen das Interesse des Betroffenen an der Aus- kunft zurücktreten muss. Die Auskunft darf aber nie pauschal abgelehnt werden, sondern nur nach sorgfältiger Abwägung im Einzelfall. Nicht-öffentliche Stellen dürfen eine Auskunft nur in Fällen ablehnen, in denen auch keine Benachrichtigungspflicht besteht (Einzelheiten in § 34 Absatz 7 i.V.m. § 33 Ab- satz 2 Satz 1 Nr. 2, 3 und 5–7). BESONDERHEITEN BEI DER DATENVERARBEITUNG DURCH NICHT-ÖFFENTLICHE STELLEN, PRIVATWIRT- SCHAFT, VEREINE ETC.
  53. 53. 53 Was tun, wenn die Auskunft verweigert wird? Sie haben grundsätzlich Anspruch auf eine vollständige Auskunft. Alle Angaben, für die nach dem Gesetz grundsätzlich eine Auskunftsverpflichtung besteht, müssen Ihnen mitgeteilt werden. Soweit die auskunftspflichtige Stelle nicht oder und nur teilweise Auskunft erteilt, muss sie auf die Unvollständigkeit der Auskunft ausdrücklich hinweisen, damit Sie die Mög- lichkeit haben, eine Überprüfung zu verlangen. ImAllgemeinenistdieverantwortlicheStelleauchverpflichtetzubegründen,aufgrund welcher gesetzlichen Bestimmung und aufgrund welcher Tatsachen sie eine Auskunft verweigert oder beschränkt. Eine solche Begründung ist nur entbehrlich, wenn sonst der mit der Auskunftsverweigerung verfolgte Zweck (z.B. laufende polizeiliche Ermitt- lungen nicht zu behindern) gefährdet würde. Haben Sie Zweifel, ob Ihnen korrekt Auskunft erteilt worden ist, können Sie sich an die zuständige Datenschutzkontrollinstitution wenden. Fügen Sie Ihren Schriftwechsel in Kopie bei. Ihr Vorgang wird dann umfassend überprüft, und Sie erhalten in jedem Fall Bescheid, ob Ihre Rechte beachtet wurden (siehe auch Kapitel 4.8). Sie haben außerdem die Möglichkeit einer gerichtlichen Klage. 4.2 Das Einsichtsrecht in das Verfahrensverzeichnis Gesetzliche Bestimmungen: §§ 4g Absatz 2, 4d sowie 4e, 38 Absatz 2 BDSG Die öffentlichen Stellen des Bundes haben ebenso wie die verantwortlichen Stellen im nicht-öffentlichen Bereich eine Übersicht über ihre automatisierten Verarbeitungen personenbezogener Daten zu führen. Diese Übersicht kann von jedermann unentgelt- lich eingesehen werden.
  54. 54. 54 BfDI – Info 1 Es ist Aufgabe der behördlichen oder betrieblichen Datenschutzbeauftragten, auf Antrag die Angaben in dem Verfahrensverzeichnis den Antragstellern in geeigneter Weise verfügbar zu machen. Auch nicht-öffentliche Stellen ohne betrieblichen Daten- schutzbeauftragten müssen eine entsprechende Übersicht führen und zur Einsicht bereithalten. Bis auf die allgemeine Beschreibung, die es ermöglicht, die Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu beurteilen, sind alle Angaben öffentlich. Es handelt sich hier insbesondere um folgende Angaben: ■■ Name oder Firma der verantwortlichen Stelle, ■■ Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfas- sung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbei- tung beauftragten Personen, ■■ Anschrift der verantwortlichen Stelle, ■■ Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, ■■ eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Da- ten oder Datenkategorien, ■■ Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, ■■ Regelfristen für die Löschung der Daten, ■■ eine geplante Datenübermittlung in Drittstaaten. Die öffentlichen Stellen des Bundes müssen darüber hinaus die Rechtsgrundlage der Verarbeitung angeben. Hinweis: Das Verzeichnis enthält keine Angaben über die konkret gespeicherten Daten- sätze. Es kann ihm also nicht entnommen werden, ob überhaupt und, wenn ja, welche Daten gerade über Sie oder eine andere Person gespeichert sind. Das Verzeichnis kann allerdings Anhaltspunkte dafür liefern, gegenüber welcher Stelle Sie Ihr Recht auf Aus- kunft (Kapitel 4.1) geltend machen wollen. BESONDERHEITEN BEI DER DATENVERARBEITUNG DURCH NICHT-ÖFFENTLICHE STELLEN, PRIVATWIRT- SCHAFT, VEREINE ETC.
  55. 55. 55 Ausnahmen: Nicht öffentlich einsehbar sind die Verzeichnisse folgender Behörden: ■■ Verfassungsschutzbehörden, ■■ Bundesnachrichtendienst, ■■ Militärischer Abschirmdienst, ■■ andere Behörden des Bundesministeriums der Verteidigung, soweit die Sicherheit des Bundes berührt wird, ■■ Staatsanwaltschaft und Polizei, ■■ öffentliche Stellen der Finanzverwaltung, soweit sie personenbezogene Daten in Er- füllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern. 4.3 Die Rechte auf Benachrichtigung, Berichtigung, Sperrung oder Löschung Die Benachrichtigung Gesetzesbestimmungen: §§ 19 a, 33 BDSG Jede verantwortliche Stelle ist verpflichtet, alle Betroffenen individuell zu benachrich- tigen, über die sie Daten ohne deren Kenntnis erhoben hat und deren Daten sie spei- chern oder verarbeiten möchte. Der Zeitpunkt der Benachrichtigung ist unterschiedlich. Bei öffentlichen Stellen muss die Unterrichtung, sofern eine Übermittlung vorgesehen ist, spätestens bei der ersten Übermittlung erfolgen. Unternehmen, die geschäftsmäßig personenbezogene Daten verarbeiten, haben die Betroffenen ebenfalls erst bei der erstmaligen Übermittlung zu benachrichtigen. Alle anderen nicht-öffentlichen Stellen müssen bereits bei der ersten Speicherung benachrichtigen.
  56. 56. 56 BfDI – Info 1 Die Benachrichtigung muss umfassen ■■ die Angabe der verantwortlichen Stelle (öffentliche Stelle bzw. ­Firma, Anschrift), ■■ die Tatsache, dass erstmals Daten über die Person, die benachrichtigt wird, gespei- chert oder übermittelt werden, ■■ die Art der Daten, ■■ die Zweckbestimmung der Erhebung bei Verarbeitung oder ­Nutzung sowie ■■ die Empfänger oder Kategorien von Empfängern, soweit der ­Betroffene nicht mit der Übermittlung an diese rechnen muss. In bestimmten im Gesetz genannten Fällen erfolgt keine Benachrichtigung, etwa weil eine überwiegende Geheimhaltungspflicht besteht, die Unterrichtung einen unver- hältnismäßigen Aufwand erfordert oder der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung erlangt hat (vgl. hierzu im Einzelnen §§ 19a Ab- satz 2, 33 Absatz 2). Im öffentlichen Bereich hat die Benachrichtigung nur eine geringe Bedeutung, weil sie auch dann entfallen kann, wenn die Speicherung oder Übermitt- lung der personenbezogenen Daten durch Gesetz ausdrücklich vorgesehen ist. Das Recht auf Berichtigung Gesetzesbestimmungen: §§ 20, 35 BDSG Wann sind personenbezogene Daten zu berichtigen? Jede Stelle ist verpflichtet, unrichtige Daten zu berichtigen. Es liegt aber auch am Be- troffenen selbst, darauf hinzuweisen, wenn Daten unrichtig oder überholt sind. Ge- schätzte Daten (etwa die Schätzung des Alters eines Betroffenen) müssen als solche deutlich gekennzeichnet werden. In nicht dateimäßig strukturierten Akten werden unrichtige Daten nicht durch richtige ausgetauscht, es wird aber ein Berichtigungsvermerk beigefügt. Ebenso ist zu vermer- ken, wenn der Betroffene die Richtigkeit bestreitet. BESONDERHEITEN BEI DER DATENVERARBEITUNG DURCH NICHT-ÖFFENTLICHE STELLEN, PRIVATWIRT- SCHAFT, VEREINE ETC.
  57. 57. 57 Wann sind personenbezogene Daten zu löschen? Von öffentlichen Stellen, wenn ■■ ihre Speicherung unzulässig ist, etwa weil schon die Erhebung unzulässig war, oder ■■ die Kenntnis der Daten für die Aufgabenerfüllung nicht mehr erforderlich ist. Von nicht-öffentlichen Stellen, wenn ■■ die Speicherung unzulässig ist, etwa weil schon die Erhebung unzulässig war, oder ■■ es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörig- keit, über Gesundheit oder das Sexualleben, strafbare Handlungen oder Ordnungs- widrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht be- wiesen werden kann, oder ■■ für eigene Zwecke verarbeitete Daten für die Erfüllung des Speicherungszwecks nicht mehr erforderlich sind, oder ■■ geschäftsmäßig zum Zweck der Übermittlung verarbeitete Daten aufgrund einer am Ende des vierten Kalenderjahres nach der ersten Speicherung vorzunehmenden Prü- fung nicht mehr erforderlich sind (z.B. bei Auskunfteien und Adressverlagen); soweit es sich um Daten über erledigte Sachverhalte handelt, muss bereits zum Ende des dritten Kalenderjahres nach der ersten Speicherung die Löschverpflichtung über- prüft werden. Eine Löschung ist nur für personenbezogene Daten vorgesehen, die entweder aus auto- matisierter Datenverarbeitung stammen oder aus einer manuellen Datei, jedoch nicht für einzelne Daten, die in nicht dateimäßig strukturierten Akten festgehalten sind. Sind allerdings komplette Akten unzulässig angelegt, so sind sie ebenfalls zu vernichten. Ebenso ist im Allgemeinen mit nicht mehr erforderlichen Akten zu verfahren.
  58. 58. 58 BfDI – Info 1 Wann sind personenbezogene Daten zu sperren? Personenbezogene Daten sind immer dann zu sperren, wenn einer fälligen Löschung besondere Gründe entgegenstehen, etwa ■■ gesetzlich, satzungsmäßig oder vertraglich festgelegte Aufbewahrungsfristen, Beispiel: Handels- oder steuerrechtliche Aufbewahrungspflichten können einer Löschung ebenso entgegenstehen wie z. B. Registraturvorschriften einer Behörde. ■■ schutzwürdige Interessen des Betroffenen, etwa weil ihm Beweismittel verloren gin- gen, oder ■■ ein unverhältnismäßig hoher Aufwand wegen der besonderen Art der Speicherung. Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind zu sperren, wenn der Betroffene ihre Richtigkeit bestrei- tet und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt. Die Tatsache dieser Sperrung darf dann gleichfalls nicht übermittelt werden. Öffentliche Stellen haben personenbezogene Daten, die weder automatisiert verarbei- tet noch in einer nicht automatisierten Datei gespeichert sind, zu sperren, wenn sie im Einzelfall feststellen, dass sonst schutzwürdige Interessen des Betroffenen beeinträch- tigt würden, und sie die Daten nicht mehr zur Aufgabenerfüllung benötigen. Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder ge- nutzt werden, wenn dies ■■ zu wissenschaftlichen Zwecken, ■■ zur Behebung einer bestehenden Beweisnot oder ■■ aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist. Zusätzlich schreibt das Gesetz vor, dass gesperrte Daten nur ausnahmsweise und nur dann für die genannten Zwecke übermittelt oder genutzt werden dürfen, wenn dies auch ohne Sperrung erlaubt wäre. BESONDERHEITEN BEI DER DATENVERARBEITUNG DURCH NICHT-ÖFFENTLICHE STELLEN, PRIVATWIRT- SCHAFT, VEREINE ETC.
  59. 59. 59 4.4 Das allgemeine Widerspruchsrecht Gesetzesbestimmungen § 20 Absatz 5, 35 Absatz 5 BDSG Wann greift das Widerspruchsrecht? Als Betroffener haben Sie das Recht, unter bestimmten Voraussetzungen sogar einer rechtmäßigen Datenverarbeitung zu widersprechen. Für den öffentlichen Bereich ist das in § 20 Absatz 5, für den nicht-öffentlichen Bereich in § 35 Absatz 5 geregelt. Der Widerspruch ist begründet, ■■ sofern besondere Umstände in der Person des Betroffenen vorliegen, ■■ das schutzwürdige Interesse des Betroffenen das Interesse der verantwortlichen Stel- le an der Erhebung, Verarbeitung oder Nutzung der entsprechenden personenbezo- genen Daten überwiegt. Beispiel: Ein gefährdeter Zeuge in einem Strafverfahren kann der Weitergabe seiner Daten durch eine Auskunftei widersprechen. Eine melderechtliche Auskunftssperre wegen einer beson- deren Gefährdung von Leib und Leben kann hierfür ein Indiz sein. Es gibt kein Widerspruchsrecht, wenn eine Rechtsvorschrift die Erhebung, Verarbei- tung oder Nutzung vorschreibt. Auch wenn die gesetzlichen Vorschriften kein explizites Widerspruchsrecht in Fällen vorsehen, in denen eine Abwägung berechtigter Interessen der verantwortlichen Stelle mit schutzwürdigen Belangen des Betroffenen erfolgen muss (etwa bei der Verarbei- tung personenbezogener Daten durch nicht-öffentliche Stellen gem. §§ 28, 29 – vgl. Ka- pitel 3), kann es sinnvoll sein, Widerspruch einzulegen, um die eigenen berechtigten ­Interessen geltend zu machen. Die verantwortliche Stelle hat den Widerspruch in den Abwägungsprozess einzubeziehen.

×